フォローする
概要
HardBit 4.0はNeshtaファイルインフェクターをドロッパーとして利用するランサムウェアのバリアントであり、CLIとGUIの両方のビルドで提供されます。多くの現代のクルーとは異なり、二重脅迫リークポータルと結びつくことはなく、データを不可逆に損傷するためのオプションの「ワイパー」能力を含む場合があります。実行はランタイム許可IDと暗号化キーによって制限されており、暗号化の前にパスフレーズスタイルの制御を追加しています。
調査
評価によると、最初のアクセスは一般的にNLBruteツールを使用したブルートフォースRDP活動を通じて発生し、その後、Mimikatzによる資格情報収集が続きます。横方向の移動は盗まれた資格情報を使ったRDP経由で行われ、KPortScan 3.0やAdvanced Port Scannerのような発見やスキャンユーティリティによってサポートされています。Neshtaはランサムウェアを%TEMP%ディレクトリにドロップし、レジストリを変更することで持続性を持ち、任意の.exeが起動されるたびにマルウェアが呼び出されます。
緩和策
RDP対応アカウントには強力でユニークなパスワードを求め、可能な限り外部RDPの露出を削減します。Windows Defenderの改ざんに関連するレジストリの変更に注意し、 svchost.com 持続メカニズムを監視します。Mimikatzとネットワークスキャンツールの不正使用を検出またはブロックするためにアプリケーションの許可リストと行動制御を実施します。
対応
疑わしい活動が見つかった場合、ホストを隔離し、揮発性の証拠をキャプチャし、ランサムウェアプロセスを停止します。攻撃者が完全に排除されたことを確認した後でのみ、信頼できるバックアップから影響を受けたデータを復旧します。レジストリの変更、スケジュールされたタスク、および資格情報ダンプのアーティファクトを確認し、完全なフォレンジックの検証を行います。
“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Technique nodes tech_bruteforce[“<b>技術</b> – <b>T1110 ブルートフォース</b><br/>資格情報を繰り返し試行することでパスワードを推測します。”] class tech_bruteforce action tech_exploit_remote[“<b>技術</b> – <b>T1210 リモートサービスの悪用</b><br/>有効な資格情報を使用して、RDPまたはSMB経由でシステムにアクセスします。”] class tech_exploit_remote action tech_cred_dump[“<b>技術</b> – <b>T1003 OS資格情報ダンピング</b><br/>メモリまたはレジストリから資格情報を抽出します。”] class tech_cred_dump action tech_discovery[“<b>技術</b> – <b>T1018 リモートシステム探索</b><br/>ホスト、共有、および開いているポートを列挙します。”] class tech_discovery action tech_rdp_lateral[“<b>技術</b> – <b>T1021.001 リモートサービス: RDP</b><br/>横移動のためのRDPセッションを確立します。”] class tech_rdp_lateral action tech_powershell[“<b>技術</b> – <b>T1059.001 PowerShell</b><br/>PowerShellコマンドを実行してDefenderの設定を変更します。”] class tech_powershell action tech_obfuscation[“<b>技術</b> – <b>T1027 ファイルまたは情報の難読化</b><br/>ランサムウェアバイナリがConfuserExで.NETに難読化されています。”] class tech_obfuscation action tech_proxy_exec[“<b>技術</b> – <b>T1218 システムバイナリプロキシ実行</b><br/>ShellExecuteAを使用してドロッパーからペイロードを起動します。”] class tech_proxy_exec action tech_persistence[“<b>技術</b> – <b>T1547.014 起動またはログオンの自動開始実行: アクティブセットアップ</b><br/>永続性のためにHKLMレジストリを変更します。”] class tech_persistence action tech_event_trigger[“<b>技術</b> – <b>T1546.002 イベントトリガーの実行: スクリーンセーバー</b><br/>スクリーンセーバーが起動するとドロッパーを実行します。”] class tech_event_trigger action tech_encryption[“<b>技術</b> – <b>T1486 影響のためのデータ暗号化</b><br/>ファイルを暗号化し身代金ノートを表示します。”] class tech_encryption action tech_inhibit_recovery[“<b>技術</b> – <b>T1490 システム回復の抑制</b><br/>シャドウコピーを削除しバックアップサービスを無効にします。”] class tech_inhibit_recovery action tech_service_stop[“<b>技術</b> – <b>T1489 サービス停止</b><br/>セキュリティおよびバックアップサービスを停止します。”] class tech_service_stop action tech_disk_wipe[“<b>技術</b> – <b>T1561 ディスクワイプ</b><br/>サービスを停止しデータ破壊のためにワイパーモードを有効にすることがあります。”] class tech_disk_wipe action %% Tool nodes tool_nlbrute[“<b>ツール</b> – <b>名前</b>: NLBrute<br/><b>説明</b>: RDPおよびSMBサービスをブルートフォースします。”] class tool_nlbrute tool tool_mimikatz[“<b>ツール</b> – <b>名前</b>: Mimikatz<br/><b>説明</b>: メモリおよびSAMから資格情報をダンプします。”] class tool_mimikatz tool tool_kportscan[“<b>ツール</b> – <b>名前</b>: KPortScan<br/><b>説明</b>: リモートホストのポートをスキャンします。”] class tool_kportscan tool tool_adv_port_scanner[“<b>ツール</b> – <b>名前</b>: Advanced Port Scanner<br/><b>説明</b>: 開いているポートとサービスを列挙します。”] class tool_adv_port_scanner tool tool_new_exe[“<b>ツール</b> – <b>名前</b>: 5u2011NS new.exe<br/><b>説明</b>: ホスト列挙のためのカスタムスキャナー。”] class tool_new_exe tool tool_powershell_cmd[“<b>ツール</b> – <b>名前</b>: PowerShell Setu2011MpPreference<br/><b>説明</b>: Windows Defenderの機能を無効にします。”] class tool_powershell_cmd tool tool_confuserex[“<b>ツール</b> – <b>名前</b>: ConfuserEx<br/><b>説明</b>: ランサムウェアバイナリに使用される.NET難読化ツール。”] class tool_confuserex tool tool_shellexecute[“<b>ツール</b> – <b>名前</b>: ShellExecuteA API<br/><b>説明</b>: システムバイナリを介してファイルを実行します。”] class tool_shellexecute tool tool_vssadmin[“<b>ツール</b> – <b>名前</b>: vssadmin<br/><b>説明</b>: ボリュームシャドウコピーを削除します。”] class tool_vssadmin tool tool_wbadmin[“<b>ツール</b> – <b>名前</b>: wbadmin<br/><b>説明</b>: バックアップサービスを無効にします。”] class tool_wbadmin tool tool_bcdedit[“<b>ツール</b> – <b>名前</b>: bcdedit<br/><b>説明</b>: ブート構成データを変更します。”] class tool_bcdedit tool %% Connections between techniques tech_bruteforce u002du002d>|leads_to| tech_exploit_remote tech_exploit_remote u002du002d>|leads_to| tech_cred_dump tech_cred_dump u002du002d>|leads_to| tech_discovery tech_discovery u002du002d>|leads_to| tech_rdp_lateral tech_rdp_lateral u002du002d>|leads_to| tech_powershell tech_powershell u002du002d>|leads_to| tech_obfuscation tech_obfuscation u002du002d>|leads_to| tech_proxy_exec tech_proxy_exec u002du002d>|leads_to| tech_persistence tech_persistence u002du002d>|leads_to| tech_event_trigger tech_event_trigger u002du002d>|leads_to| tech_encryption tech_encryption u002du002d>|leads_to| tech_inhibit_recovery tech_inhibit_recovery u002du002d>|leads_to| tech_service_stop tech_service_stop u002du002d>|leads_to| tech_disk_wipe %% Technique to tool usage tech_bruteforce u002du002d>|uses| tool_nlbrute tech_cred_dump u002du002d>|uses| tool_mimikatz tech_discovery u002du002d>|uses| tool_kportscan tech_discovery u002du002d>|uses| tool_adv_port_scanner tech_discovery u002du002d>|uses| tool_new_exe tech_powershell u002du002d>|uses| tool_powershell_cmd tech_obfuscation u002du002d>|uses| tool_confuserex tech_proxy_exec u002du002d>|uses| tool_shellexecute tech_inhibit_recovery u002du002d>|uses| tool_vssadmin tech_inhibit_recovery u002du002d>|uses| tool_wbadmin tech_inhibit_recovery u002du002d>|uses| tool_bcdedit “
アタックフロー
検出
疑わしいWbadminツールのアクティビティ(cmdline経由)
表示
LOLBAS WScript / CScript (process_creation経由)
表示
Windows Defenderの保護機能無効化(registry_event経由)
表示
疑わしいBcdeditの実行(cmdline経由)
表示
Powershell、CMD、WMIを介したシャドウコピーの作成または削除(cmdline経由)
表示
疑わしいVSSADMINのアクティビティ(cmdline経由)
表示
検出するためのIOC(電子メール):HardBit 4.0ランサムウェア分析
表示
HardBit 4.0によるWindows Defenderセキュリティ機能の改ざんの検出 [Windowsレジストリイベント]
表示
カスタムバッチスクリプトによるMimikatzの実行の検出 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリー&ベースラインの事前チェックが合格していること。
理由:このセクションには、検出ルールをトリガーするために設計された敵のテクニック(TTP)の正確な実行が詳述されています。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目指しています。
-
攻撃の説明とコマンド:
敵は、侵害されたワークステーションでローカル管理者権限を取得しました。資格情報を収集するため、カスタムバッチファイルである!start.batをmimikatz.exeと同じディレクトリにドロップします。バッチファイルは単にmimikatzをコマンドと共に起動させます。PowerShellプロンプトからバッチファイルを呼び出すことで、Event 4688によって記録されるコマンドラインはリテラル文字列. The batch file simply launches mimikatz with theコマンドと共に起動させます。PowerShellプロンプトからバッチファイルを呼び出すことで、Event 4688によって記録されるコマンドラインはリテラル文字列andコマンドと共に起動させます。PowerShellプロンプトからバッチファイルを呼び出すことで、Event 4688によって記録されるコマンドラインはリテラル文字列を含み、検出条件を満たします。!start.batリグレッションテストスクリプト: -
# ——————————————————— # セットアップ:一時ディレクトリを作成しmimikatzを配置 # ——————————————————— $tempDir = “$env:TEMPmimikatz_test” New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # mimikatz.exeがC:Toolsにあると仮定 Copy-Item -Path “C:Toolsmimikatz.exe” -Destination $tempDir -Force # ——————————————————— # カスタムバッチスクリプト !start.bat を作成 # ——————————————————— $batPath = Join-Path $tempDir “!start.bat” @’ @echo off “mimikatz.exe” “privilege::debug” “sekurlsa::logonpasswords” exit ‘@ | Set-Content -Path $batPath -Encoding ASCII # ——————————————————— # バッチスクリプトを実行(これが起動するべきステップ) # ——————————————————— $cmd = “cmd.exe /c `”$batPath`”” Start-Process -FilePath “cmd.exe” -ArgumentList “/c `”$batPath`”” -WorkingDirectory $tempDir -NoNewWindow # ——————————————————— # イベントがログに記録されることを確認するために短時間待機 # ——————————————————— Start-Sleep -Seconds 5
クリーンアップコマンド: -
# 一時ディレクトリとすべてのアーティファクトを削除 Remove-Item -Path $tempDir -Recurse -Force
攻撃フロー