Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
HardBit 4.0 ist eine Ransomware-Variante, die den Neshta-Dateivirus als Dropper nutzt und sowohl in CLI- als auch GUI-Builds geliefert wird. Im Gegensatz zu vielen modernen Gruppen ist sie nicht an ein Doppel-Erpressungs-Leak-Portal gebunden und kann eine optionale ‚Wiper‘-Funktion enthalten, die darauf ausgelegt ist, Daten irreversibel zu beschädigen. Die Ausführung wird durch eine Laufzeit-Autorisierungs-ID und einen Verschlüsselungsschlüssel gesteuert, was effektiv eine Passphrasen-Steuerung vor Beginn der Verschlüsselung einfügt.
Untersuchung
Die Bewertung legt nahe, dass der anfängliche Zugriff häufig durch Brute-Force-RDP-Aktivität mithilfe des NLBrute-Tools erfolgt, gefolgt vom Ernten von Anmeldeinformationen über Mimikatz. Die seitliche Bewegung erfolgt dann über RDP mit den gestohlenen Anmeldeinformationen, unterstützt durch Discovery- und Scanning-Utilities wie KPortScan 3.0 und Advanced Port Scanner. Neshta wird verwendet, um die Ransomware im %TEMP%-Verzeichnis abzulegen und durch Ändern der Registrierung beizubehalten, sodass die Malware immer dann aufgerufen wird, wenn eine .exe-Datei gestartet wird.
Eindämmung
Verlagen Sie starke, eindeutige Passwörter für RDP-fähige Konten und reduzieren Sie die externe RDP-Exposition, wo immer möglich. Beobachten Sie Registrierungsänderungen, die mit der Manipulation von Windows Defender verbunden sind, und dem svchost.com Persistenzmechanismus. Implementieren Sie Anwendungs-Whitelisting und Verhaltenskontrollen, um den unbefugten Gebrauch von Mimikatz und Netzwerkscanner-Tools zu erkennen oder zu blockieren.
Reaktion
Wenn verdächtige Aktivitäten festgestellt werden, isolieren Sie den Host, erfassen flüchtige Beweise und stoppen Sie den Ransomware-Prozess. Stellen Sie betroffene Daten nur aus vertrauenswürdigen Sicherungen wieder her, nachdem sichergestellt wurde, dass der Bedrohungsakteur vollständig entfernt wurde. Führen Sie eine vollständige forensische Validierung durch, indem Sie Registry-Modifikationen, geplante Aufgaben und alle Credential-Dump-Artefakte überprüfen.
„graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Technik-Knoten tech_bruteforce[„<b>Technik</b> – <b>T1110 Brute Force</b><br/>Versucht, Passwörter durch wiederholtes Ausprobieren von Anmeldedaten zu erraten.“] class tech_bruteforce action tech_exploit_remote[„<b>Technik</b> – <b>T1210 Ausnutzung von Remote-Diensten</b><br/>Verwendet gültige Anmeldedaten, um auf Systeme über RDP oder SMB zuzugreifen.“] class tech_exploit_remote action tech_cred_dump[„<b>Technik</b> – <b>T1003 Betriebssystem-Anmeldeinformationen-Dumping</b><br/>Extrahiert Anmeldedaten aus dem Speicher oder der Registrierung.“] class tech_cred_dump action tech_discovery[„<b>Technik</b> – <b>T1018 Remote-Systemerkennung</b><br/>Zählt Hosts, Freigaben und offene Ports auf.“] class tech_discovery action tech_rdp_lateral[„<b>Technik</b> – <b>T1021.001 Remote-Dienste: RDP</b><br/>Richtet RDP-Sitzungen für die seitliche Bewegung ein.“] class tech_rdp_lateral action tech_powershell[„<b>Technik</b> – <b>T1059.001 PowerShell</b><br/>Führt PowerShell-Befehle aus, um Defender-Einstellungen zu ändern.“] class tech_powershell action tech_obfuscation[„<b>Technik</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/>Ransomware-Binärdatei ist mit ConfuserEx .NET-obfuskatiert.“] class tech_obfuscation action tech_proxy_exec[„<b>Technik</b> – <b>T1218 System-Binär-Proxy-Execution</b><br/>Verwendet ShellExecuteA, um Nutzlast vom Dropper zu starten.“] class tech_proxy_exec action tech_persistence[„<b>Technik</b> – <b>T1547.014 Boot- oder Anmeldestart-Ausführung: Aktive Einrichtung</b><br/>Ändert HKLM-Registrierung für Persistenz.“] class tech_persistence action tech_event_trigger[„<b>Technik</b> – <b>T1546.002 Ereignisausgelöste Ausführung: Bildschirmschoner</b><br/>Führt Dropper aus, wenn der Bildschirmschoner aktiviert ist.“] class tech_event_trigger action tech_encryption[„<b>Technik</b> – <b>T1486 Daten verschlüsselt für Wirkung</b><br/>Verschlüsselt Dateien und zeigt Lösegeldforderung an.“] class tech_encryption action tech_inhibit_recovery[„<b>Technik</b> – <b>T1490 Systemwiederherstellung behindern</b><br/>Löscht Schattenkopien und deaktiviert Sicherungsdienste.“] class tech_inhibit_recovery action tech_service_stop[„<b>Technik</b> – <b>T1489 Dienst stoppen</b><br/>Stoppt Sicherheits- und Sicherungsdienste.“] class tech_service_stop action tech_disk_wipe[„<b>Technik</b> – <b>T1561 Festplatte löschen</b><br/>Stoppt Dienste und kann Wiper-Modus aktivieren, um Daten zu zerstören.“] class tech_disk_wipe action %% Werkzeug-Knoten tool_nlbrute[„<b>Werkzeug</b> – <b>Name</b>: NLBrute<br/><b>Beschreibung</b>: Durchbricht RDP- und SMB-Dienste.“] class tool_nlbrute tool tool_mimikatz[„<b>Werkzeug</b> – <b>Name</b>: Mimikatz<br/><b>Beschreibung</b>: Dumped Anmeldedaten aus dem Speicher und SAM.“] class tool_mimikatz tool tool_kportscan[„<b>Werkzeug</b> – <b>Name</b>: KPortScan<br/><b>Beschreibung</b>: Scannt Ports auf Remote-Hosts.“] class tool_kportscan tool tool_adv_port_scanner[„<b>Werkzeug</b> – <b>Name</b>: Advanced Port Scanner<br/><b>Beschreibung</b>: Listet offene Ports und Dienste auf.“] class tool_adv_port_scanner tool tool_new_exe[„<b>Werkzeug</b> – <b>Name</b>: 5u2011NS new.exe<br/><b>Beschreibung</b>: Benutzerdefinierter Scanner zur Host-Auflistung.“] class tool_new_exe tool tool_powershell_cmd[„<b>Werkzeug</b> – <b>Name</b>: PowerShell Setu2011MpPreference<br/><b>Beschreibung</b>: Deaktiviert Windows Defender-Funktionen.“] class tool_powershell_cmd tool tool_confuserex[„<b>Werkzeug</b> – <b>Name</b>: ConfuserEx<br/><b>Beschreibung</b>: .NET-Obfuskator, der auf Ransomware-Binärdatei verwendet wird.“] class tool_confuserex tool tool_shellexecute[„<b>Werkzeug</b> – <b>Name</b>: ShellExecuteA API<br/><b>Beschreibung</b>: Führt Dateien über System-Binärdateien aus.“] class tool_shellexecute tool tool_vssadmin[„<b>Werkzeug</b> – <b>Name</b>: vssadmin<br/><b>Beschreibung</b>: Löscht Volume Shadow Copies.“] class tool_vssadmin tool tool_wbadmin[„<b>Werkzeug</b> – <b>Name</b>: wbadmin<br/><b>Beschreibung</b>: Deaktiviert Sicherungsdienste.“] class tool_wbadmin tool tool_bcdedit[„<b>Werkzeug</b> – <b>Name</b>: bcdedit<br/><b>Beschreibung</b>: Ändert Boot-Konfigurationsdaten.“] class tool_bcdedit tool %% Verbindungen zwischen Techniken tech_bruteforce u002du002d>|leads_to| tech_exploit_remote tech_exploit_remote u002du002d>|leads_to| tech_cred_dump tech_cred_dump u002du002d>|leads_to| tech_discovery tech_discovery u002du002d>|leads_to| tech_rdp_lateral tech_rdp_lateral u002du002d>|leads_to| tech_powershell tech_powershell u002du002d>|leads_to| tech_obfuscation tech_obfuscation u002du002d>|leads_to| tech_proxy_exec tech_proxy_exec u002du002d>|leads_to| tech_persistence tech_persistence u002du002d>|leads_to| tech_event_trigger tech_event_trigger u002du002d>|leads_to| tech_encryption tech_encryption u002du002d>|leads_to| tech_inhibit_recovery tech_inhibit_recovery u002du002d>|leads_to| tech_service_stop tech_service_stop u002du002d>|leads_to| tech_disk_wipe %% Technik zu Werkzeug Verwendung tech_bruteforce u002du002d>|uses| tool_nlbrute tech_cred_dump u002du002d>|uses| tool_mimikatz tech_discovery u002du002d>|uses| tool_kportscan tech_discovery u002du002d>|uses| tool_adv_port_scanner tech_discovery u002du002d>|uses| tool_new_exe tech_powershell u002du002d>|uses| tool_powershell_cmd tech_obfuscation u002du002d>|uses| tool_confuserex tech_proxy_exec u002du002d>|uses| tool_shellexecute tech_inhibit_recovery u002du002d>|uses| tool_vssadmin tech_inhibit_recovery u002du002d>|uses| tool_wbadmin tech_inhibit_recovery u002du002d>|uses| tool_bcdedit „
Angriffsablauf
Erkennungen
Verdächtige Wbadmin-Tool-Aktivität (über cmdline)
Anzeigen
LOLBAS WScript / CScript (über Prozess-Erstellung)
Anzeigen
Deaktivierung von Windows Defender-Schutz (über Registrierungsevent)
Anzeigen
Verdächtige Bcdedit-Ausführung (über cmdline)
Anzeigen
Erstellen oder Löschen von Schattenkopien über Powershell, CMD oder WMI (über cmdline)
Anzeigen
Verdächtige VSSADMIN-Aktivität (über cmdline)
Anzeigen
IOC (E-Mails) zur Erkennung: HardBit 4.0 Ransomware-Analyse
Anzeigen
Erkennung der Manipulation von Windows Defender-Sicherheitsfunktionen durch HardBit 4.0 [Windows Registry Event]
Anzeigen
Erkennung der Mimikatz-Ausführung über benutzerdefiniertes Batch-Skript [Windows Prozess-Erstellung]
Anzeigen
Simulation der Ausführung
Voraussetzung: Der Telemetrie- und Basislinien-Preflight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel zu aktivieren. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffsnarrativ & Kommandos:
Der Angreifer hat lokale Administratorrechte auf einer kompromittierten Workstation erlangt. Um Anmeldedaten zu ernten, lassen sie eine benutzerdefinierte Batch-Datei mit dem Namen!start.batim selben Verzeichnis wiemimikatz.exeablegen. Die Batch-Datei startet einfach Mimikatz mit denprivilege::debugandsekurlsa::logonpasswordsBefehlen. Durch das Aufrufen der Batch-Datei von einer PowerShell-Eingabeaufforderung wird die Befehlszeile, die von Ereignis 4688 aufgezeichnet wird, die Zeichenkette!start.batenthalten, die die Erkennungsbedingung erfüllt. -
Regressionstestskript:
# --------------------------------------------------------- # Setup: Erstellen Sie ein temporäres Verzeichnis und platzieren Sie Mimikatz # --------------------------------------------------------- $tempDir = "$env:TEMPmimikatz_test" New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # Gehen Sie davon aus, dass mimikatz.exe unter C:Toolsmimikatz.exe verfügbar ist Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force # --------------------------------------------------------- # Erstellen Sie das benutzerdefinierte Batch-Skript !start.bat # --------------------------------------------------------- $batPath = Join-Path $tempDir "!start.bat" @' @echo off "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit '@ | Set-Content -Path $batPath -Encoding ASCII # --------------------------------------------------------- # Führen Sie das Batch-Skript aus (dieser Schritt sollte auslösen) # --------------------------------------------------------- $cmd = "cmd.exe /c `"$batPath`"" Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow # --------------------------------------------------------- # Warten Sie eine kurze Zeit, um sicherzustellen, dass das Ereignis protokolliert wird # --------------------------------------------------------- Start-Sleep -Seconds 5 -
Bereinigungskommandos:
# Entfernen Sie das temporäre Verzeichnis und alle Artefakte Remove-Item -Path $tempDir -Recurse -Force