USN ジャーナルでランサムウェアの活動を検出する

USN ジャーナルにおいて、ランサムウェアは最も明瞭な信号の一つです。攻撃者が他に何をしていようと — 資格情報の窃取、横展開、永続化 — 暗号化フェーズはファイル システムに均一かつ大量の操作を加え、その痕跡は数か月後でも目立ちます。本記事ではそのパターンと、見つけ方を解説します。

前提として、$J を抽出 してパース済みであることとします (本サイトのパーサ、usnrs その他で OK)。reason ビットマスクの復習には 専用記事 が現場リファレンスです。

典型的なパターン

現代のランサムウェアの大半 (LockBit、BlackCat/ALPHV、Royal、Akira、ポスト Conti 系統など) は、ファイル単位で同じ三段の手順を踏みます:

1. ファイルを読み取りで開く。
2. 内容をインプレースで上書きする — もしくは隣に新ファイルを書いて元を消す。
3. 目印拡張子 (.locked、.lockbit、ランダムな 8 文字、家族によっては拡張子なし) を付加してリネーム。

ジャーナルでは、ファイルごとに以下が現れます:

DataOverwrite | Close
DataOverwrite | Close
…           ← 書き込みブロックごとに繰り返し
RenameOldName | Close   (旧: document.docx)
RenameNewName | Close   (新: document.docx.locked)

決定的な二つのシグナル:

• 短時間に数千ファイルへ及ぶ DataOverwrite のバースト。通常のファイル活動でデータベース以外の DataOverwrite が連続することは稀です。
• 同一の新拡張子尾を伴う大量の RenameNewName。暗号化中はアクティブ ファイル数に対する新名称レコードの比率が爆発します。

MITRE ATT&CK では、これは主に T1486 Data Encrypted for Impact と関連するリネーム挙動に対応します。

実用的な検出レシピ

パース済みジャーナルに対して:

1. 分単位で DataOverwrite をヒストグラム化する。 描画するか、単に分単位でバケット化して崖を探します。通常の Windows ホストは安定した低ベースライン (分当たり数件) を示し、アプリのバースト (Office の保存、Chrome のキャッシュ) で時折跳ねます。ランサムウェアはベースラインに対して 50〜500 倍の持続的なスパイクを示し、ホスト上のファイルが尽きるまで止まりません。
2. RenameNewName をクラスタリング。 新拡張子で、あるいは新名称への正規表現でグルーピングします。窓内のリネームの 80% が同じサフィックスや同じ .{8} パターンを共有していれば、暗号化器を見ている可能性大。
3. FileDelete | Close と相互参照。 一部の家族は暗号化後を新ファイルへ書いて元を削除します。同じ語幹で拡張子だけ違う FileCreate と同秒に発生していれば一致候補です。
4. 親ディレクトリを遡る。 ユーザ プロファイル配下のすべてのサブディレクトリやマップされたすべての共有を狙うランサムウェアは、Users\<user>\Documents、Users\<user>\Desktop、各マップ ドライブのルートに当たります。MFT で解決されたフル パスがあれば、この確認は瞬時です。

本サイトのパーサは reason フィルタを直接提供します — 手順 1 では DataOverwrite に、手順 2 では RenameNewName に設定してください。

データの見え方

実際の LockBit 3.0 事案からの匿名化抜粋:

2024-04-12T03:14:08Z  DataOverwrite Close   C:\Users\ana\Desktop\notes.docx
2024-04-12T03:14:08Z  DataOverwrite Close   C:\Users\ana\Desktop\notes.docx
2024-04-12T03:14:08Z  DataOverwrite Close   C:\Users\ana\Desktop\notes.docx
2024-04-12T03:14:08Z  RenameOldName Close   C:\Users\ana\Desktop\notes.docx
2024-04-12T03:14:08Z  RenameNewName Close   C:\Users\ana\Desktop\notes.docx.HLJkNskOq
2024-04-12T03:14:08Z  DataOverwrite Close   C:\Users\ana\Desktop\quarterly.xlsx
…

ディレクトリ内の全ファイルが同一の壁時計秒内に暗号化されます。新拡張子は均一なランダム 9 文字 — 手順 2 のクラスタ信号として強力です。

暗号化フェーズの外側

ジャーナルは事前準備と後始末の挙動も拾います:

• シャドウ コピーの削除: 実際は $J には現れません ($WSC が管理する名前空間に属する) が、vssadmin.exe が起動した一時ファイルの FileCreate が暗号化バーストの直前に出現します。
• 発見スキャン: 多くの家族はディレクトリ列挙でボリュームを枚挙し、ジャーナル エントリは生成しません — が、攻撃者が adfind.exe や PsExec.exe のようなツールを落としていれば、その FileCreate が見えます。
• 脅迫文の配置: 現代の家族はどれも、暗号化したディレクトリごとに脅迫文を書きます。多数のディレクトリで同じ名前 (README.txt、HOW_TO_DECRYPT.html 等) の FileCreate が同分内に並ぶのは、横着な正規表現でも大半が引っかかります。

ジャーナルから分からないこと

USN ジャーナルが記録するのはファイル システムの変更であって、行為者ではありません。暗号化バーストにユーザやプロセスを結びつけるには、次のいずれかが必要です:

• Security.evtx のイベント 4663 (オブジェクト アクセス) — SACL の事前設定が前提。
• Microsoft-Windows-Sysmon/Operational のイベント 11 (ファイル作成) — Sysmon の展開が前提。
• Velociraptor の Windows.NTFS.MFT アーティファクト または KAPE のフル トリアージ プロファイル で一度に取得。

より広い対応プレイブックは CISA の #StopRansomware ガイド が定本です。

ベースライン ノイズへの注意

いくつかの正当な挙動はランサムウェアに表面上は似ます:

• ディスク暗号化の展開 (BitLocker の初回変換) は DataOverwrite の連続バーストを生みますが、RenameNewName は生みません。除外しやすい誤検知です。
• バックアップ ソフト (Veeam、Macrium 等) は宛先ボリュームで DataOverwrite バーストを生じ得ます。ユーザ/パスを必ず相互確認してください。
• Office の自動保存や Visual Studio のリビルド は短いバーストを出します。分単位のヒストグラムなら一目瞭然です — これらは過渡的、ランサムウェアは単調です。

ベースライン上で検出ロジックがゼロ アラートなら、特異性が不足しています。狙うべき信号は DataOverwrite 率、RenameNewName 率、拡張子のクラスタ化の 組み合わせ — どれか一つではありません。