JPCERTເຜີຍແຜ່​ເຕັກ​ນິກ​ການ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ຂອງ ມັນແວຮຽກຄ່າໄຖ່​ (Ransomware)ດ້ວຍ​ WindowsEvent Log

ສູນ​ຕອບໂຕ້​ເຫດ​ສຸກເສີນທາງລະບົບ​ຄອມພິວເຕີ​ຂອງ​ຢີ່​ປຸ່ນ​ (JPCERT/CC) ໄດ້​ເຜີຍແຜ່​ເຕັກ​ນິກ​ໃນ​ການ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ຂອງ​ກຸ່ມ​ Ransomware ຕ່າງ​ໆ​ ໂດຍ​ໃຊ້​ລາຍ​ການ​ໃນ​ Windows Event Logs ທີ່​ຊ່ວຍ​ໃຫ້​ສາມາດ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ທີ່ເກິດຂື້ນ​ໄດ້​ທັນ​ທ່ວງ​ທີ​ ກ່ອນ​ທີ່​ການ​ໂຈມ​ຕີ​ເຫຼົ່າ​ນັ້ນ​ຈະ​ແຜ່ກ​ະ​ຈາຍ​ໄປ​ໃນ​ເຄືອ​ຂ່າຍ​.

JPCERT/CC ລະ​ບຸ​ວ່າ​ເຕັກ​ນິກ​ດັ່ງ​ກ່າວ​ສາມາດ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ຈາກ​ ມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ແລະ​ ລະ​ບຸ​ເສັ້ນທາງທີ່ຄົ້ນຮ້າຍເຂົ້າມາໃນລະບົບ (attack vector) ທີ່​ຈະ​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ​ການ​ໂຈມ​ຕີ​ ເຮັດໃຫ້​ສາມາດ​ຮັບ​ມື​ ແລະ ​ຫຼຸດ​ຜົນ​ກະທົບ​ໄດ້​ຢ່າງ​ທັນ​ທ່ວງ​ທີ​.

ການ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ Ransomware ດ້ວຍ​ Event Logs

ເຕັກ​ນິກ​ການ​ກວດ​ຈັບ​ທີ່​ເຜີຍແຜ່​ໂດຍ​ JPCERT/CC ລວມມີ​ Logs 4 ປະ​ເພດ​ດັ່ງ​ນີ້​ :

  • Application logs
  • Security logs
  • System logs
  • Setup logs

logs ເຫຼົ່າ​ນີ້​ມັກ​ປະກອບ​ດ້ວຍ​ຮ່ອງ​ຮອຍ​ທີ່​ຖິ້ມ​ໄວ້​ຈາກ​ການ​ໂຈມ​ຕີ​ດ້ວຍ​ ມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ຊຶ່ງ​ສາມາດ​ເປີດ​ເຜີຍ​ຈຸດ​ທີ່​ໃຊ້​ໂຈມ​ຕີ​ ແລະ​ ຕົວຕົນດິຈິຕອນ (digital identity) ຂອງ​ພວກ​ເຂົາ.

ຕົວ​ຢ່າງ​ຮ່ອງ​ຮອຍ​ຂອງ​ມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ບາງ​ສ່ວນ​

Contiສາມາດ​ລະ​ບຸ​ໂດຍ​ໃຊ້​ logs ຈຳນວນ​ຫຼາຍ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ Windows Restart Manager (event Ids: 10000, 10001) ຮ່ອງ​ຮອຍ​ດັ່ງ​ກ່າວ​ຄ້າຍ​ຄືກັບ​ການ​ໂຈມ​ຕີ​ຂອງ​ກຸ່ມ​ Akira, Lockbit3.0, HelloKitty, Abysslocker, Avaddon, Bablock ແລະ ​ມັນ​ແວ (Malware) ​​ອື່ນ​ໆ​ ທີ່​ສ້າງ​ຈາກ​ Lockbit ແລະ​ Conti.

Phobos: ຖິ້ມ​ຮ່ອງ​ຮອຍ​ໄວ້​ເມື່ອລຶບ system backups (event IDs: 612, 524, 753) ໂດຍ​ logs ລັກສະນະ​ຄ້າຍ​ກັນ​ນີ້​ເກີດ​ຂຶ້ນ​ກັບ​ 8base ແລະ​ Elbie ດ້ວຍ​.

Midasຈະ​ Changes network settings ເພື່ອ​ແຜ່ກ​ະ​ຈາຍ​ຕົວ​ເອງ​ໃນ​ລະບົບ​ ໂດຍ​ເຮັດໃຫ້​ເກີດ​ event ID 7040 ໃນ​ logs.

BadRabbitevent ID 7045 ເມື່ອ​ມີ​ການ​ຕິດ​ຕັ້ງ​ encryption component.

Bisamware: Logs ຂອງ​ Windows Installer transaction start (1040) ແລະ​ end (1042).

ລວມ​ເຖິງ​ JPCERT/CC ຍັງ​ລະ​ບຸ​ອີກ​ວ່າ​ ມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ທີ່​ເບິ່ງ​ຄື​ບໍ່​ກ່ຽວ​ຂ້ອງ​ກັນ​ ເຊັ່ນ:​ Shade, GandCrab, AKO, AvosLocker, BLACKBASTA ແລະ​ Vice Society ໄດ້​ຖິ້ມ​ຮ່ອງ​ຮອຍ​ທີ່​ຄືກັນ​ຄື​ (event IDs: 13, 10016).

ທັ້​ງ​ 2 ລາຍ​ການ​ເກີດ​ຈາກ​ການ​ຂາດ​ສິດ permissions ເມື່ອ​ເຂົ້າ​ເຖິງ​ COM applications ເພື່ອ​ລຶບ​ Volume Shadow Copies ເຮັດໃຫ້​ກູ້​ຄືນ​ຟາຍ​ທີ່​ເຂົ້າ​ລະ​ຫັດ​ໄດ້​ຍາກ​ຂຶ້ນ​.

ຊຶ່ງ​ເຕັກ​ນິກ​ທີກ່າວ​ມາ​ບໍ່​ສາມາດ​ທີ່​ຈະ​ໃຊ້​ເພື່ອ​ຢືນຢັນ​ການ​ໂຈມ​ຕີ​ ransomware ໄດ້​ 100% ແຕ່​ສາມາດ​ໃຊ້​ເພື່ອ​ປະກອບ​ກັບ​ຂໍ້​ມູນ​ອື່ນ​ໆ​ ເພື່ອ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ກ່ອນທີ່ຈະ​ແຜ່ກ​ະ​ຈາຍ​ໄປ​ໃນ​ເຄືອ​ຂ່າຍ​.

JPCERT/CC ລະ​ບຸ​ວ່າ​ ມັນແວຮຽກຄ່າໄຖ່ (Ransomware) ສາຍ​ພັນ​ເກົ່າ​ເຊັ່ນ​: WannaCry ແລະ​ Petya ບໍ່​ໄດ້​ຖິ້ມ​ຮ່ອງ​ຮອຍ​ໄວ້​ໃນ​ Windows logs ແຕ່​ເມື່ອ​ສະຖານະການ​ຂອງ​ ມັນແວຮຽກຄ່າໄຖ່ (Ransomware)  ສະໄໝ​ໃໝ່​ປ່ຽນ​ໄປ​ ເຕັກ​ນິກ​ດັ່ງ​ກ່າວ​ຈຶ່ງ​ມີປະ​ສິດ​ທິ​ພາບ​ໃນ​ປັດຈຸບັນ​.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/jpcert-shares-windows-event-log-tips-to-detect-ransomware-attacks/
  2. https://www.i-secure.co.th/2024/10/jpcert-%e0%b9%80%e0%b8%9c%e0%b8%a2%e0%b9%81%e0%b8%9e%e0%b8%a3%e0%b9%88%e0%b9%80%e0%b8%97%e0%b8%84%e0%b8%99%e0%b8%b4%e0%b8%84%e0%b8%81%e0%b8%b2%e0%b8%a3%e0%b8%95%e0%b8%a3%e0%b8%a7%e0%b8%88%e0%b8%88/
776 Views