팔로우
요약
HardBit 4.0은 Neshta 파일 감염기를 드로퍼로 사용하는 랜섬웨어 변종으로, CLI 및 GUI 빌드 모두에서 제공됩니다. 많은 현대 랜섬웨어와 달리, 이 랜섬웨어는 이중 갈취 유출 포털에 연결되어 있지 않으며 데이터를 돌이킬 수 없이 손상시키기 위한 선택적 ‘와이퍼’ 기능을 포함할 수 있습니다. 실행은 런타임 승인 ID와 암호화 키에 의해 제한되며, 이는 암호화 시작 전에 암호구문 스타일의 제어를 추가합니다.
조사
평가에 따르면 초기 액세스는 대개 NLBrute 도구를 사용한 무차별 RDP 활동을 통해 발생하며, 이어서 Mimikatz을 통한 자격 증명 수집이 이루어집니다. 이후 Lateral Movement는 도난당한 자격 증명을 사용하여 RDP를 통해 수행되며, KPortScan 3.0 및 Advanced Port Scanner와 같은 탐색 및 스캔 유틸리티로 지원됩니다. Neshta는 랜섬웨어를 %TEMP% 디렉토리에 드롭하고, 레지스트리를 변경하여 .exe 파일이 실행될 때마다 악성 코드가 불려지도록 하여 지속성을 유지합니다.
대응책
RDP가 활성화된 계정에 대해 강력하고 고유한 비밀번호를 요구하고, 가능하면 외부 RDP 노출을 줄이십시오. Windows Defender의 조작과 관련된 레지스트리 변경 사항을 주의 깊게 감시하고 svchost.com 지속성 메커니즘. Mimikatz 및 네트워크 스캔 도구의 무단 사용을 탐지하거나 차단할 수 있는 애플리케이션 허용 목록 및 행동 제어를 구현하십시오.
대응
의심되는 활동이 발견되면 호스트를 격리하고, 휘발성 증거를 확보하고, 랜섬웨어 프로세스를 중지하십시오. 위협 행위자가 완전히 제거되었음을 확인한 후에만 신뢰할 수 있는 백업으로부터 영향을 받은 데이터를 복원하십시오. 레지스트리 수정, 예약 작업 및 자격 증명 덤프 아티팩트를 검토하여 포렌식 확인을 완료하십시오.
“graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% 기술 노드 tech_bruteforce[“<b>기술</b> – <b>T1110 무차별 대입</b><br/>자격 증명을 반복하여 시도하여 암호를 추측하려고 시도합니다.”] class tech_bruteforce action tech_exploit_remote[“<b>기술</b> – <b>T1210 원격 서비스 취약점 악용</b><br/>RDP 또는 SMB를 통해 시스템에 액세스하기 위해 유효한 자격 증명을 사용합니다.”] class tech_exploit_remote action tech_cred_dump[“<b>기술</b> – <b>T1003 운영체제 자격 증명 덤프</b><br/>메모리 또는 레지스트리에서 자격 증명을 추출합니다.”] class tech_cred_dump action tech_discovery[“<b>기술</b> – <b>T1018 원격 시스템 발견</b><br/>호스트, 공유 및 열린 포트를 열거합니다.”] class tech_discovery action tech_rdp_lateral[“<b>기술</b> – <b>T1021.001 원격 서비스: RDP</b><br/>측면 이동을 위해 RDP 세션을 설정합니다.”] class tech_rdp_lateral action tech_powershell[“<b>기술</b> – <b>T1059.001 파워셸</b><br/>파워셸 명령을 실행하여 Defender 설정을 수정합니다.”] class tech_powershell action tech_obfuscation[“<b>기술</b> – <b>T1027 난독화된 파일 또는 정보</b><br/>랜섬웨어 바이너리가 ConfuserEx로 .NETu2011난독화되었습니다.”] class tech_obfuscation action tech_proxy_exec[“<b>기술</b> – <b>T1218 시스템 바이너리 프록시 실행</b><br/>쉘 실행을 사용하여 드로퍼에서 페이로드를 시작합니다.”] class tech_proxy_exec action tech_persistence[“<b>기술</b> – <b>T1547.014 부팅 또는 로그온 자동 시작 실행: 활성 설정</b><br/>지속성을 위해 HKLM 레지스트리를 수정합니다.”] class tech_persistence action tech_event_trigger[“<b>기술</b> – <b>T1546.002 이벤트 트리거 실행: 화면 보호기</b><br/>스크린 세이버가 활성화될 때 드로퍼를 실행합니다.”] class tech_event_trigger action tech_encryption[“<b>기술</b> – <b>T1486 영향을 위한 데이터 암호화</b><br/>파일을 암호화하고 랜섬 노트를 표시합니다.”] class tech_encryption action tech_inhibit_recovery[“<b>기술</b> – <b>T1490 시스템 복구 방해</b><br/>섀도 복사본을 삭제하고 백업 서비스를 비활성화합니다.”] class tech_inhibit_recovery action tech_service_stop[“<b>기술</b> – <b>T1489 서비스 중지</b><br/>보안 및 백업 서비스를 중지합니다.”] class tech_service_stop action tech_disk_wipe[“<b>기술</b> – <b>T1561 디스크 삭제</b><br/>서비스를 중지하고 데이터 파괴를 위해 와이퍼 모드를 활성화할 수 있습니다.”] class tech_disk_wipe action %% 도구 노드 tool_nlbrute[“<b>도구</b> – <b>이름</b>: NLBrute<br/><b>설명</b>: RDP 및 SMB 서비스에 대해 무차별 대입을 수행합니다.”] class tool_nlbrute tool tool_mimikatz[“<b>도구</b> – <b>이름</b>: Mimikatz<br/><b>설명</b>: 메모리와 SAM에서 자격 증명을 덤프합니다.”] class tool_mimikatz tool tool_kportscan[“<b>도구</b> – <b>이름</b>: KPortScan<br/><b>설명</b>: 원격 호스트의 포트를 스캔합니다.”] class tool_kportscan tool tool_adv_port_scanner[“<b>도구</b> – <b>이름</b>: Advanced Port Scanner<br/><b>설명</b>: 열려 있는 포트와 서비스를 열거합니다.”] class tool_adv_port_scanner tool tool_new_exe[“<b>도구</b> – <b>이름</b>: 5u2011NS new.exe<br/><b>설명</b>: 호스트 열거를 위한 사용자 정의 스캐너입니다.”] class tool_new_exe tool tool_powershell_cmd[“<b>도구</b> – <b>이름</b>: PowerShell Setu2011MpPreference<br/><b>설명</b>: Windows Defender 기능을 비활성화합니다.”] class tool_powershell_cmd tool tool_confuserex[“<b>도구</b> – <b>이름</b>: ConfuserEx<br/><b>설명</b>: 랜섬웨어 바이너리에 사용된 .NET 오프스케이터입니다.”] class tool_confuserex tool tool_shellexecute[“<b>도구</b> – <b>이름</b>: ShellExecuteA API<br/><b>설명</b>: 시스템 바이너리를 통해 파일을 실행합니다.”] class tool_shellexecute tool tool_vssadmin[“<b>도구</b> – <b>이름</b>: vssadmin<br/><b>설명</b>: 볼륨 섀도 복사본을 삭제합니다.”] class tool_vssadmin tool tool_wbadmin[“<b>도구</b> – <b>이름</b>: wbadmin<br/><b>설명</b>: 백업 서비스를 비활성화합니다.”] class tool_wbadmin tool tool_bcdedit[“<b>도구</b> – <b>이름</b>: bcdedit<br/><b>설명</b>: 부팅 구성 데이터를 수정합니다.”] class tool_bcdedit tool %% 기술 간 연결 tech_bruteforce u002du002d>|leads_to| tech_exploit_remote tech_exploit_remote u002du002d>|leads_to| tech_cred_dump tech_cred_dump u002du002d>|leads_to| tech_discovery tech_discovery u002du002d>|leads_to| tech_rdp_lateral tech_rdp_lateral u002du002d>|leads_to| tech_powershell tech_powershell u002du002d>|leads_to| tech_obfuscation tech_obfuscation u002du002d>|leads_to| tech_proxy_exec tech_proxy_exec u002du002d>|leads_to| tech_persistence tech_persistence u002du002d>|leads_to| tech_event_trigger tech_event_trigger u002du002d>|leads_to| tech_encryption tech_encryption u002du002d>|leads_to| tech_inhibit_recovery tech_inhibit_recovery u002du002d>|leads_to| tech_service_stop tech_service_stop u002du002d>|leads_to| tech_disk_wipe %% 기술에서 도구 사용 tech_bruteforce u002du002d>|uses| tool_nlbrute tech_cred_dump u002du002d>|uses| tool_mimikatz tech_discovery u002du002d>|uses| tool_kportscan tech_discovery u002du002d>|uses| tool_adv_port_scanner tech_discovery u002du002d>|uses| tool_new_exe tech_powershell u002du002d>|uses| tool_powershell_cmd tech_obfuscation u002du002d>|uses| tool_confuserex tech_proxy_exec u002du002d>|uses| tool_shellexecute tech_inhibit_recovery u002du002d>|uses| tool_vssadmin tech_inhibit_recovery u002du002d>|uses| tool_wbadmin tech_inhibit_recovery u002du002d>|uses| tool_bcdedit “
공격 흐름
탐지
의심스러운 Wbadmin 도구 활동 (cmdline을 통해)
보기
LOLBAS WScript / CScript (프로세스 생성 경유)
보기
Windows Defender 보호 비활성화 (레지스트리 이벤트 경유)
보기
의심스러운 Bcdedit 실행 (cmdline을 통해)
보기
Powershell, CMD 또는 WMI를 통해 생성 또는 삭제된 섀도 복사본 (cmdline을 통해)
보기
의심스러운 VSSADMIN 활동 (cmdline을 통해)
보기
IOCs (이메일)를 통해 탐지: HardBit 4.0 랜섬웨어 분석
보기
HardBit 4.0에 의한 Windows Defender 보안 기능 조작 탐지 [Windows 레지스트리 이벤트]
보기
사용자 정의 배치 스크립트를 통한 Mimikatz 실행 탐지 [Windows 프로세스 생성]
보기
시뮬레이션 실행
필수: 텔레메트리 및 베이스라인 사전 비행 검사가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 상대 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 서술은 식별된 TTP를 직접 반영해야 하며, 탐지 논리가 기대하는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.
-
공격 서사 및 명령:
공격자는 손상된 워크스테이션에서 로컬 관리자 권한을 획득했습니다. 자격 증명을 수집하기 위해, 그들은 ‘start.bat’이라는 사용자 정의 배치 파일을!start.bat와 같은 디렉토리에mimikatz.exe을 놓습니다. 배치 파일은 단순히privilege::debugandsekurlsa::logonpasswords명령어와 함께 mimikatz를 실행합니다. PowerShell 프롬프트에서 배치 파일을 호출하면 Event 4688에 기록된 커맨드 라인은 탐지 조건을 만족하는 문자 그대로의 문자열인!start.bat을 포함하게 됩니다. -
회귀 테스트 스크립트:
# --------------------------------------------------------- # 설정: 임시 디렉토리를 만들고 mimikatz를 배치 # --------------------------------------------------------- $tempDir = "$env:TEMPmimikatz_test" New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # C:Toolsmimikatz.exe에 mimikatz.exe가 있다고 가정 Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force # --------------------------------------------------------- # 사용자 정의 배치 스크립트 !start.bat 생성 # --------------------------------------------------------- $batPath = Join-Path $tempDir "!start.bat" @' @echo off "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit '@ | Set-Content -Path $batPath -Encoding ASCII # --------------------------------------------------------- # 배치 스크립트 실행 (이 단계에서 트리거가 발생해야 함) # --------------------------------------------------------- $cmd = "cmd.exe /c `"$batPath`"" Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow # --------------------------------------------------------- # 이벤트가 기록되도록 잠시 기다립니다. # --------------------------------------------------------- Start-Sleep -Seconds 5 -
정리 명령:
# 임시 디렉토리와 모든 아티팩트를 제거합니다. Remove-Item -Path $tempDir -Recurse -Force