JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月26日、「侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、ランサムウェア被害に遭遇した際に記録されるWindowsイベントの特徴的なログについて解説した。被害発生時の初動対応において、Windowsイベントを調査することでランサムウェアを特定し、被害拡大防止に役立ててほしいと説明している。

  • 侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

    侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

ランサムウェア別Windowsイベントの特徴

経済的利益を目的に使用されるランサムウェアは、被害環境にランサムノートと呼ばれる身代金請求ファイルを残す。多くの場合、このファイルにはランサムウェアの種類特定につながる情報が記載されている。しかしながら、一部の攻撃では特定できないケースがあり、そのような場合は過去の事案に基づく侵入経路の推定ができなくなる。

そこでJPCERT/CCは、ランサムウェア種別を特定できない事案におけるランサムウェア特定手法として、Windowsイベントに記録される特徴的なログを公開した。記事で取り上げているランサムウェアとそのログの概要は次のとおり。

  • Conti:短時間にイベントID「10000」および「10001」を大量に記録する。Akira、Lockbit3.0、HelloKitty、Abysslocker、avaddon、bablockも同様
  • Phobos:バックアップカタログ削除などに関連したイベントID「612」、「524」、「753」を記録する。8base、Elbieも同様
  • Midas:ネットワーク設定変更に関連したイベントID「7040」を複数記録する。Axxesも同様
  • Badrabbit:「cscc.dat」をインストールする際にイベントID「7045」を記録する
  • Bisamware:Windowsインストーラートランザクションの開始(イベントID「1040」)と終了(イベントID「1042」)を記録する
  • その他(shade、GandCrab、AKO、avoslocker、BLACKBASTA、VICE SOCIETY):正常動作に失敗したイベントID「13」および「10016」を記録する

Windowsログの有効活用

Wannacry、Petya、Ryukなど古いランサムウェアからは特徴的なイベントは見つかっていない。しかしながら、JPCERT/CCは比較的新しいランサムウェアから上記のような特徴的なイベントを複数発見している。

ランサムウェアの被害環境では多くのデータが暗号化され、主要なログなどは削除される可能性が高い。そのような状況下においてもセキュリティ担当者は被害拡大防止のために侵入経路を塞ぐ必要がある。攻撃が進行中の場合はゆっくりイベントログを眺める余裕はないかもしれないが、他に手段がない場合はこれら情報を有効活用することが望まれている。