ສູນຕອບໂຕ້ເຫດສຸກເສີນທາງລະບົບຄອມພິວເຕີຂອງຢີ່ປຸ່ນ (JPCERT/CC) ໄດ້ເຜີຍແຜ່ເຕັກນິກໃນການກວດຈັບການໂຈມຕີຂອງກຸ່ມ Ransomware ຕ່າງໆ ໂດຍໃຊ້ລາຍການໃນ Windows Event Logs ທີ່ຊ່ວຍໃຫ້ສາມາດກວດຈັບການໂຈມຕີທີ່ເກິດຂື້ນໄດ້ທັນທ່ວງທີ ກ່ອນທີ່ການໂຈມຕີເຫຼົ່ານັ້ນຈະແຜ່ກະຈາຍໄປໃນເຄືອຂ່າຍ.
JPCERT/CC ລະບຸວ່າເຕັກນິກດັ່ງກ່າວສາມາດກວດຈັບການໂຈມຕີຈາກ ມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ແລະ ລະບຸເສັ້ນທາງທີ່ຄົ້ນຮ້າຍເຂົ້າມາໃນລະບົບ (attack vector) ທີ່ຈະໄດ້ຮັບຜົນກະທົບຈາກການໂຈມຕີ ເຮັດໃຫ້ສາມາດຮັບມື ແລະ ຫຼຸດຜົນກະທົບໄດ້ຢ່າງທັນທ່ວງທີ.
ການກວດຈັບການໂຈມຕີ Ransomware ດ້ວຍ Event Logs
ເຕັກນິກການກວດຈັບທີ່ເຜີຍແຜ່ໂດຍ JPCERT/CC ລວມມີ Logs 4 ປະເພດດັ່ງນີ້ :
- Application logs
- Security logs
- System logs
- Setup logs
logs ເຫຼົ່ານີ້ມັກປະກອບດ້ວຍຮ່ອງຮອຍທີ່ຖິ້ມໄວ້ຈາກການໂຈມຕີດ້ວຍ ມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ຊຶ່ງສາມາດເປີດເຜີຍຈຸດທີ່ໃຊ້ໂຈມຕີ ແລະ ຕົວຕົນດິຈິຕອນ (digital identity) ຂອງພວກເຂົາ.
ຕົວຢ່າງຮ່ອງຮອຍຂອງມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ບາງສ່ວນ
Conti: ສາມາດລະບຸໂດຍໃຊ້ logs ຈຳນວນຫຼາຍທີ່ກ່ຽວຂ້ອງກັບ Windows Restart Manager (event Ids: 10000, 10001) ຮ່ອງຮອຍດັ່ງກ່າວຄ້າຍຄືກັບການໂຈມຕີຂອງກຸ່ມ Akira, Lockbit3.0, HelloKitty, Abysslocker, Avaddon, Bablock ແລະ ມັນແວ (Malware) ອື່ນໆ ທີ່ສ້າງຈາກ Lockbit ແລະ Conti.

Phobos: ຖິ້ມຮ່ອງຮອຍໄວ້ເມື່ອລຶບ system backups (event IDs: 612, 524, 753) ໂດຍ logs ລັກສະນະຄ້າຍກັນນີ້ເກີດຂຶ້ນກັບ 8base ແລະ Elbie ດ້ວຍ.
Midas: ຈະ Changes network settings ເພື່ອແຜ່ກະຈາຍຕົວເອງໃນລະບົບ ໂດຍເຮັດໃຫ້ເກີດ event ID 7040 ໃນ logs.
BadRabbit: event ID 7045 ເມື່ອມີການຕິດຕັ້ງ encryption component.
Bisamware: Logs ຂອງ Windows Installer transaction start (1040) ແລະ end (1042).
ລວມເຖິງ JPCERT/CC ຍັງລະບຸອີກວ່າ ມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ທີ່ເບິ່ງຄືບໍ່ກ່ຽວຂ້ອງກັນ ເຊັ່ນ: Shade, GandCrab, AKO, AvosLocker, BLACKBASTA ແລະ Vice Society ໄດ້ຖິ້ມຮ່ອງຮອຍທີ່ຄືກັນຄື (event IDs: 13, 10016).

ທັ້ງ 2 ລາຍການເກີດຈາກການຂາດສິດ permissions ເມື່ອເຂົ້າເຖິງ COM applications ເພື່ອລຶບ Volume Shadow Copies ເຮັດໃຫ້ກູ້ຄືນຟາຍທີ່ເຂົ້າລະຫັດໄດ້ຍາກຂຶ້ນ.

ຊຶ່ງເຕັກນິກທີກ່າວມາບໍ່ສາມາດທີ່ຈະໃຊ້ເພື່ອຢືນຢັນການໂຈມຕີ ransomware ໄດ້ 100% ແຕ່ສາມາດໃຊ້ເພື່ອປະກອບກັບຂໍ້ມູນອື່ນໆ ເພື່ອກວດຈັບການໂຈມຕີກ່ອນທີ່ຈະແຜ່ກະຈາຍໄປໃນເຄືອຂ່າຍ.
JPCERT/CC ລະບຸວ່າ ມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ສາຍພັນເກົ່າເຊັ່ນ: WannaCry ແລະ Petya ບໍ່ໄດ້ຖິ້ມຮ່ອງຮອຍໄວ້ໃນ Windows logs ແຕ່ເມື່ອສະຖານະການຂອງ ມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ສະໄໝໃໝ່ປ່ຽນໄປ ເຕັກນິກດັ່ງກ່າວຈຶ່ງມີປະສິດທິພາບໃນປັດຈຸບັນ.
ເອກະສານອ້າງອີງ:
- https://www.bleepingcomputer.com/news/security/jpcert-shares-windows-event-log-tips-to-detect-ransomware-attacks/
- https://www.i-secure.co.th/2024/10/jpcert-%e0%b9%80%e0%b8%9c%e0%b8%a2%e0%b9%81%e0%b8%9e%e0%b8%a3%e0%b9%88%e0%b9%80%e0%b8%97%e0%b8%84%e0%b8%99%e0%b8%b4%e0%b8%84%e0%b8%81%e0%b8%b2%e0%b8%a3%e0%b8%95%e0%b8%a3%e0%b8%a7%e0%b8%88%e0%b8%88/
