通过 Windows 事件日志识别人为操作的勒索软件

针对人为勒索软件攻击的初步响应，最大的挑战之一是识别攻击的媒介。尽管我们从最近的安全事件趋势中了解到，VPN 设备的漏洞很可能是被利用的途径之一，但调查过程往往耗时较长，因为在事件发生时通常需要考虑多种潜在的渗透方式。为了保证初期响应的顺畅进行，首先应根据受感染设备上留下的加密文件扩展名和勒索信息来推测攻击者身份，随后调查可能的渗透路径，并确定该攻击者在过去常用的入侵点。不过，根据笔者的经验，存在多起案例，单凭加密文件的扩展名或勒索信息难以准确识别出攻击者。在此文中，我们将探讨如何利用 Windows 事件日志信息辅助识别这些攻击者的可能性。通过研究，笔者发现某些勒索软件会在 Windows 事件日志中留下特定的痕迹，这有助于识别勒索软件。此次研究特别关注了以下四种 Windows 事件日志。

1. 应用日志
2. 安全日志
3. 系统日志
4. 设置日志

以下介绍勒索病毒执行时Windows事件日志中记录的日志。

Conti

Conti 是 2020 年首次发现的勒索软件。2022 年，与 Conti 相关的源代码被泄露，之后出现了许多变种。Conti 在加密文件时会利用 Windows 重启管理器。该功能会在 Windows 操作系统重新启动或关闭时自动关闭正在运行的应用程序。虽然在正常运行期间也可能会在事件日志中记录日志，但当 Conti 执行时，会在短时间内记录大量相关日志（事件 ID：10000、10001）。

我们还确认，下列勒索病毒也记录了类似的事件日志，其中一些疑似与Conti有关。

• Akira (根据加密货币交易状况等，怀疑与 Conti 有关)
• Lockbit3.0 (使用基于Conti的加密系统)
• HelloKitty
• Abysslocker
• avaddon
• bablock

Phobos

Phobos 是 2019 年发现的勒索病毒。据说它是在源代码被发现与 Dharma 勒索病毒相似之后出现的，在 Dharma 的解密工具出现后，发现了许多变种。Phobos 可以删除受感染设备的卷影副本和系统备份目录，并且在执行时会留下痕迹。请注意，在系统管理员管理磁盘空间或组织不必要的数据时，上述内容也可能出现在正常运行中。

• 事件 ID 612：计划自动执行的备份因某种原因被取消
• 事件 ID 524：系统目录已被删除
• 事件 ID 753：备份系统已成功启动并准备运行

此外，下列勒索软件也记录到了具有类似特征的痕迹，怀疑与Phobos组织有关。

• 8base
• Elbie

Midas

Midas 是 2021 年首次发现的勒索软件。Midas 的特点是，它会在事件日志中留下有关执行时网络设置更改的痕迹，这些更改被认为旨在传播感染。

当服务设置发生变化时，会记录事件ID 7040，变化的服务设置记录为EventData，执行Midas时，会记录服务的变化情况如下表所示。

Axxes 勒索病毒中也记录了类似的特征，该病毒被怀疑是 Midas 的变种。

BadRabbit

BadRabbit 是 2017 年首次确认的勒索软件，其特点是在执行时会记录用于加密的组件 cscc.dat 的安装痕迹（事件 ID：7045）。

Bisamware

Bisamware 是 2022 年首次发现的勒索软件。它是一种针对 Windows 用户的勒索软件，已知它是通过利用 Microsoft 提供的工具中的漏洞进行传播的。执行 Bisamware 时，会记录 Windows Installer 事务的开始（事件 ID：1040）和结束（事件 ID：1042）的痕迹。

勒索软件记录的其他常见事件日志

虽然从公开的信息看不出明显的联系，但有些类型的勒索软件在事件日志的痕迹中表现出共同的特征。

• shade
• GandCrab
• AKO
• avoslocker
• BLACKBASTA
• VICE SOCIETY

该类勒索软件的痕迹（事件 ID：13、10016）显示，它们无法正常运行，因为它们在执行时缺乏访问与卷影复制服务相关的 COM 服务器应用程序的权限。

结束语

虽然我们无法找到任何可以识别 WannaCry、Petya、Ryuk 和其他较旧类型的勒索软件的事件日志，但我们识别出多个可以识别本文介绍的相对较新的勒索软件类型的事件日志。事件日志只能支持损害调查和归因，但在大量信息被删除或加密的情况下，调查所有可能有用的信息可能会提供一些很好的见解。在调查人为勒索软件攻击造成的损害时，请考虑调查事件日志。