(آنتی ویروس پادویش بیس) Padvish Base
(آنتی ویروس پادویش کورپوریت) Padvish Corporate
Kaspersky Small Office Security
Kaspersky Endpoint Security Select
Kaspersky Endpoint Security Advanced
Kaspersky Total Security for Business
Kaspersky Endpoint Security Cloud
Kaspersky Endpoint Security Cloud Plus
Kaspersky Hybrid Cloud Security
(ضدباج گیر سازمانی پادویش) Padvish Anticrypto
Kaspersky Security for Storage
Padvish EDR
Kaspersky Security Cloud Pro
Kaspersky EDR Optimum
Kapsersky EDR Expert
Padvish MDR
Kaspersky MDR Optimum
Kapsersky MDR Expert
مرکز پاسخ به حوادث کامپیوتری ژاپن (JPCERT/CC) به تازگی در نکاتی در خصوص شناسایی انواع باج افزارها از طریق بررسی Windows Event Log منتشر کرده است. این نکات میتوانند به شناسایی حملات در حال انجام و سریعتر آن کمک کنند. این تکنیکها در زمان پاسخ به حملات باج افزار با ارزش جلوه میکنند و با کمک به شناسایی بردار حمله در بین احتمالات بسیار به اثرات تهدیدات را کاهش میدهد.
این مرکز در مقاله خود 4 نوع گزارش را پوشش داده است: Application، Security، System و Setup. این گزارشات شامل نشانههایی از باج افزارها هستند که میتواند نقاط ورودی استفاده شده توسط حمله و هویت دیجیتال آنها مشخص کند. در ادامه تعدادی نشانههای باج افزارها که در این گزارش به آنها اشاره شده است را بررسی میکنیم:
Conti: توسط تعدادی زیادی گزارش مربوط به Windows Restart Manager شناسایی میشود (event IDs: 10000,10001)
گزارشات مشابه توسط Akira، Lockbit3.0، HelloKitty، Abysslocker،Avaddon،Bablock و بدافزارهای دیگری که با کد منبع لو رفته Lockbit و Conti تولید شده اند، تولید میشود.
Phobos: هنگام پاک کردن بکآپهای سیتم ردپا از خودش به جا میگذارد. گزارشات مشابهی توسط باج افزار 8base و Elbie نیز تولید میشود. (Event IDs: 612,524,753)
Midas: تنظیمات شبکه را برای تکثیر خود تغیر میدهد و گزارشاتی از عملیات تولید میشود. (Event IDs: 7040)
BadRabbit: نصب ابزار رمزگذار آن باعث ایجاد لاگ میگردد. (Event IDs: 7045)
Bisamware: لاگهایی مربوط به Windows Installer بجا میگذارد. (Event IDs: 1040,1042)
JPCERT/CC در ادامه عنوان میکند که نمونههای غیر معمولی از باج افزارهایی مانند : Shade، GandCarb، AKO، AvosLocker، BLACKBASTA و Vice Society ردپاهای مشابه یکدیگر به جا میگذارند. (Event IDs: 13,10016) هر دوی دسته از گزارشات مربوط به عدم وجود مجوزهای مناسب برای دسترسی به اپلیکیشنهای COM برای پاک کردن Shadow Copy ها میباشد. Volume Shadow Copies ها یکی از لایههای امنیتی در برابر باج افزارها میباشد و بدافزارها رمزکننده سعی در پاک کردن آنها دارند تا تمامی شانسهای کاربر برای بازگردانی اطلاعات را از بین ببرند.
ذکر این نکته ضروری است که هیچ روشی نباید به عنوان روش صدرصدی برای شناسایی باج افزارها استفاده شود، اما مانیتورینگ تعدادی از گزارشات در Event log میتواند در تشخیص سریعتر در کنار سایر ابزارهای امنیتی کمک کننده باشد و پیش از گسترش آن در شبکه جلوی آن را گرفت.
این مرکز امنیتی خاطر نشان میکند که باج افزارهای قدیمیتر مانند WannaCry و Petya نشانهای در Window logs به جا نمیگذاشتند، اما شرایط از آن زمان تغییر کرده و مانیتورینگ لاگها اکنون روش مؤثری اطلاق میشود.
همچنین شرکت SANS در سال 2022 فایل راهنمایی جهت شناسایی انواع باج افزار از طریق Windows Event Logs نیز منتشر کرده است که برای تکمیل این مطالب و بهره برداری بیشتر و استفاده در سامانههای مانیتورینگ و SIEM حائز اهمیت میباشد.
نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند *
ذخیره نام، ایمیل و وبسایت من در مرورگر برای زمانی که دوباره دیدگاهی مینویسم.