侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査

侵入型ランサムウェア攻撃の被害発生時の初動対応で難しいのは、侵入経路の特定です。昨今のセキュリティインシデントの傾向からVPN機器の脆弱性が悪用される可能性が高いことはご存じのとおりかと思いますが、被害発生時に想定される侵入経路は複数あることが多いため、調査に時間を費やしてしまうことが多々あります。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノート等をもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で、侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要です。ただ、これまでのJPCERT/CCの経験では暗号化されたファイルの拡張子やランサムノートだけでは攻撃グループを特定できなかったことも複数あります。 今回は、そのような攻撃グループ特定のサポートとしてWindowsイベントログの情報が使用できる可能性があるかについて調査した結果を共有します。JPCERT/CCの調査では、ランサムウェアによってはWindowsイベントログに痕跡を残すものが存在することを確認しており、その特徴をもとにランサムウェアの推定が可能な場合があることを確認しています。今回、調査に使用したWindowsイベントログは以下の4つです。

  1. アプリケーションログ
  2. セキュリティログ
  3. システムログ
  4. Setupログ

以降では、各ランサムウェア実行時にWindowsイベントログに記録されるログについて紹介します。

Conti

Contiは、2020年に確認されたランサムウェアです。2022年に、Contiに関連するソースコード等が流出することにより、その後Contiをベースとする多くの亜種が出現しました。Contiは、ファイルを暗号化する際、Windows Restart Managerを悪用します。Windows Restart Managerは起動中のアプリケーションをWindows OSの再起動時やシャットダウン時に自動的に閉じるための機能であり、通常の運用でもイベントログに残る場合もありますが、Contiが実行された場合、短時間に該当のログ(イベントID:10000、10001)が大量に記録されるという特徴があります。

図1:Conti実行時に確認したイベントログ

また、以下のランサムウェアでも同様のイベントログが記録されることを確認しています。これらの中にはContiとの関係性があると指摘されるものもあります。

  • Akira(暗号通貨の取引状況などからContiとの関係性が疑われている)
  • Lockbit3.0(Contiベースの暗号化システムが採用されている)
  • HelloKitty
  • Abysslocker
  • avaddon
  • bablock

Phobos

Phobosは、2019年に確認されたランサムウェアです。Dharmaというランサムウェアとソースコードが類似しており、 Dharmaの復号ツールが利用できるようになったことを境に登場したと言われています。また多くの亜種も確認されています。Phobosは、感染した端末のボリュームシャドーコピーやシステムのバックアップカタログを削除する機能を持っており、実行のタイミングで痕跡が記録されます。なお、前述の内容は、通常の運用でもシステム管理者がディスクスペースの管理や不要なデータの整理のために発生する可能性があります。

図2:Phobos実行時に確認したイベントログ

  • イベントID 612:通常自動的に行われる予定だったバックアップが何らかの理由で中止された
  • イベントID 524:システム カタログが削除された
  • イベントID 753:バックアップシステムが正常に開始され、動作準備が整ったことを示す

また、Phobosグループが疑われる以下のランサムウェアからも同様の特徴を持つ痕跡が記録されています。

  • 8base
  • Elbie

Midas

Midasは、2021年に確認されたランサムウェアです。Midasは、実行のタイミングで感染拡大を狙ったと思われるネットワーク設定の変更に関するイベントログの痕跡が記録される特徴があります。

図3:Midas実行時に確認したイベントログ

イベントID 7040は、サービス設定に変更があった場合に記録されます。変更されたサービス設定は、EventDataとして記録されており、Midas実行時には、表1のようなサービスの変更が記録されます。

表1:変更されるサービス一覧
サービス 説明
Function Discovery Resource Publication コンピューター上のリソースをネットワーク上の他のデバイスに公開するために使用される
SSDP Discovery ネットワーク上のデバイスを発見するために使用される
Secure Socket Tunneling Protocol Service インターネットを介したVPN接続を確立するために使用される
UPnP Device Host Universal Plug and Play (UPnP)対応デバイスがコンピューターと通信し、ネットワーク上での自動設定やサービスの提供を可能にするために使用される

また、Midasの亜種と疑われているAxxesランサムウェアからも同様の特徴を持つ痕跡が記録されています。

Badrabbit

BadRabbitは、2017年に確認されたランサムウェアです。BadRabbitは、実行のタイミングで暗号化に使用するコンポーネントであるcscc.datをインストールする痕跡(イベントID:7045)が記録される特徴があります。

図4:Badrabbit実行時に確認したイベントログ

Bisamware

Bisamwareは、2022年に確認されたランサムウェアです。Windowsユーザーを狙ったランサムウェアであり、Microsoftが提供するツールの脆弱性を悪用して配布されていることが知られています。Bisamwareは、実行のタイミングでWindowsインストーラートランザクションの開始(イベントID:1040)と終了(イベントID:1042)の痕跡が記録される特徴があります。

図5:Bisamware実行時に確認したイベントログ

その他共通のイベントログが記録されるランサムウェア

公開情報からは関連性は見受けられませんでしたが、イベントログの痕跡という観点で同様の特徴を持つ痕跡が記録されたランサムウェアを紹介します。

  • shade
  • GandCrab
  • AKO
  • avoslocker
  • BLACKBASTA
  • VICE SOCIETY

これらのランサムウェアは、実行のタイミングでボリュームシャドーコピーサービスに関連するCOMサーバーアプリケーションに対するアクセス許可が不足しており、正常に機能しなかったことを示す痕跡(イベントID:13、10016)が残ります。

図6:確認できたイベントログ

おわりに

Wannacry、Petya、Ryukなどの確認された時期が古いランサムウェアからは、ランサムウェアの特定につながるようなイベントログは確認できませんでしたが、今回紹介した比較的新しいランサムウェアからはランサムウェアの特定につながるようなイベントログが複数確認できました。イベントログは被害調査のサポートやアトリビューションにしかなりませんが、多くの情報が削除・暗号化される状況においては少しでも活用できる可能性があるものは調査してみると、よい気付きを得られるかもしれません。侵入型ランサムウェア攻撃の被害調査時には、イベントログの調査も検討してみてください。

インシデントレスポンスグループ 中村 恭脩

≪ 前へ
トップに戻る