在 USN 日志中检测勒索软件活动

勒索软件是 USN 日志中最清晰的信号之一。无论攻击者还做了什么 — 凭据盗取、横向移动、持久化 — 加密阶段都会以统一、高量级的模式触碰文件系统,几个月后这些痕迹依然显眼。本文走过这种模式长什么样,以及如何找到它。

前提假设是你已经 取出 $J 并完成解析 (本页解析器可用,也包括 usnrs 等)。要复习 reason 位掩码,我们的 专题文章 是现场参考。

典型模式

多数现代勒索软件 (LockBit、BlackCat/ALPHV、Royal、Akira、后 Conti 派系等) 对每个文件遵循同一套三步配方:

1. 以读取方式打开文件。
2. 就地覆写内容 — 或者在旁边写一个新文件并删除原件。
3. 重命名,加上一个标记扩展名 (.locked、.lockbit、8 字符随机串,某些家族甚至不加扩展名)。

在日志里,这对每个文件产生:

DataOverwrite | Close
DataOverwrite | Close
…           ← 每个写入块重复一次
RenameOldName | Close   (旧:document.docx)
RenameNewName | Close   (新:document.docx.locked)

两个独特的信号:

• 在很短时间内、覆盖数千个文件的 DataOverwrite 突发。正常文件活动很少在非数据库文件上持续触发 DataOverwrite。
• 带相同新扩展尾的大规模 RenameNewName。加密期间,新名称记录与活动文件数的比率会暴涨。

对应到 MITRE ATT&CK,这主要落在 T1486 Data Encrypted for Impact 与相邻的重命名行为上。

一个实用的检测配方

针对已解析的日志:

1. 按分钟做 DataOverwrite 直方图。 画图或简单地按分钟分箱,寻找悬崖。正常 Windows 主机展示稳定的低基线 (每分钟几条),被应用突发 (Office 保存、Chrome 缓存) 偶尔打断。勒索软件呈现持续的、远高于基线 50–500 倍的峰值,只在主机文件耗尽时停止。
2. 聚类 RenameNewName 事件。 按新扩展名分组,或对新名做正则。如果一个窗口内 80% 的重命名共享同一后缀或同一 .{8} 模式,就是加密器。
3. 与 FileDelete | Close 交叉对照。 一些家族把密文写到新文件并删除原件。同秒内有相同词根但扩展不同的 FileCreate 就是配对线索。
4. 回到父目录。 加密所有用户配置文件子目录或所有共享的勒索软件,会击中 Users\<user>\Documents、Users\<user>\Desktop 以及每个映射驱动器根。MFT 解析出的完整路径让这件事变得轻而易举。

本站解析器直接公开了按 reason 过滤的能力 — 第 1 步切到 DataOverwrite,第 2 步切到 RenameNewName。

数据长什么样

来自一起真实 LockBit 3.0 案例的脱敏摘录:

2024-04-12T03:14:08Z  DataOverwrite Close   C:\Users\ana\Desktop\notes.docx
2024-04-12T03:14:08Z  DataOverwrite Close   C:\Users\ana\Desktop\notes.docx
2024-04-12T03:14:08Z  DataOverwrite Close   C:\Users\ana\Desktop\notes.docx
2024-04-12T03:14:08Z  RenameOldName Close   C:\Users\ana\Desktop\notes.docx
2024-04-12T03:14:08Z  RenameNewName Close   C:\Users\ana\Desktop\notes.docx.HLJkNskOq
2024-04-12T03:14:08Z  DataOverwrite Close   C:\Users\ana\Desktop\quarterly.xlsx
…

目录中的每个文件都在同一墙钟秒里被加密。新扩展名是统一的 9 字符随机字符串 — 第 2 步的强聚类信号。

加密阶段之外

日志也能捕捉准备和清理阶段的行为:

• 删除卷影副本: 在 $J 中其实并不可见 (位于 $WSC 管理的命名空间),但在加密突发前几秒,会出现 vssadmin.exe 启动的临时文件 FileCreate。
• 发现扫描: 许多家族通过目录列举枚举卷,这不会在日志产生条目 — 但若攻击者落地了 adfind.exe 或 PsExec.exe 这样的工具,会看到它们的 FileCreate。
• 投放勒索信: 每个现代家族都会在每个被加密目录写入一份勒索信。同一分钟内多个目录都出现同名文件 (README.txt、HOW_TO_DECRYPT.html 等) 的 FileCreate,即便用最朴素的正则也能抓到大多数。

日志不会告诉你的事

USN 日志记录的是文件系统的变化,不是行为者。要把用户或进程跟加密突发挂上钩,你需要:

• Security.evtx 事件 4663 (对象访问) — 需要事先配置 SACL。
• Microsoft-Windows-Sysmon/Operational 事件 11 (文件创建) — 需要部署 Sysmon。
• Velociraptor 的 Windows.NTFS.MFT artifact 或 KAPE 的完整 triage 配置,一次性把这些都拉到。

更宽的响应剧本以 CISA 的 #StopRansomware 指南 为权威。

关于基线噪声

一些合法行为在表面上像勒索软件:

• 磁盘加密铺开 (BitLocker 初次转换) 会产生持续的 DataOverwrite 突发 — 但不会产生 RenameNewName 事件。容易排除的误报。
• 备份软件 像 Veeam 或 Macrium 可能在目标卷上产生 DataOverwrite 突发。务必交叉确认用户/路径。
• Office 自动保存或 Visual Studio 重新构建 会产生短促突发。分钟级直方图会让它们一目了然 — 它们是瞬时的,勒索软件则是单调持续的。

如果你的检测逻辑在基线上不产生任何告警,就说明它指定不足。你要寻找的信号是 DataOverwrite 速率、RenameNewName 速率和扩展名聚类的 组合 — 而不是任何单独一个。