일본의 컴퓨터 비상 대응 센터인 JPCERT/CC는 Windows 이벤트 로그를 통해 다양한 랜섬웨어 갱의 공격을 감지하는 팁을 공유했습니다. 이 기술은 랜섬웨어 공격에 대응하고, 다양한 가능성 중 공격 경로를 식별하는 데 중요합니다. JPCERT/CC가 제안한 조사 전략은 애플리케이션, 보안, 시스템, 설정 로그 등 네 가지 유형의 Windows 이벤트 로그를 포함합니다.
이 로그들은 공격자의 진입점과 '디지털 신원'을 밝혀낼 수 있는 랜섬웨어 공격에 의해 남겨진 흔적을 종종 포함합니다. 예를 들어, Conti는 Windows 재시작 관리자와 관련된 많은 로그를 통해 식별되며, 비슷한 이벤트는 Akira, Lockbit3.0, HelloKitty, Abysslocker, Avaddon, Bablock 등의 악성 코드에 의해 생성됩니다. Phobos는 시스템 백업을 삭제할 때 흔적을 남기며, Midas는 네트워크 설정을 변경하여 감염을 퍼뜨리고, BadRabbit은 암호화 구성 요소를 설치할 때 이벤트를 기록합니다.
그러나 랜섬웨어에 대한 적절한 보호를 보장하는 감지 방법은 없으며, 특정 로그를 모니터링하는 것은 네트워크 내에서 공격이 너무 멀리 퍼지기 전에 감지하는 데 결정적인 역할을 할 수 있습니다. JPCERT/CC는 WannaCry와 Petya와 같은 이전의 랜섬웨어 변종들은 Windows 로그에 흔적을 남기지 않았지만, 현대의 악성 코드 상황에서는 이 기술이 효과적이라고 지적했습니다.

요약
- 일본의 컴퓨터 비상 대응 센터인 JPCERT/CC는 Windows 이벤트 로그를 통해 랜섬웨어 공격을 감지하는 팁을 공유했다.
- 이 로그들은 공격자의 진입점과 '디지털 신원'을 밝혀낼 수 있는 랜섬웨어 공격에 의해 남겨진 흔적을 종종 포함한다.
- 특정 로그를 모니터링하는 것은 네트워크 내에서 공격이 너무 멀리 퍼지기 전에 감지하는 데 결정적인 역할을 할 수 있다.
- 이전의 랜섬웨어 변종들은 Windows 로그에 흔적을 남기지 않았지만, 현대의 악성 코드 상황에서는 이 기술이 효과적이라고 JPCERT/CC는 지적했다.

Reference
https://www.bleepingcomputer.com/news/security/jpcert-shares-windows-event-log-tips-to-detect-ransomware-attacks/

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.