Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Короткий огляд
HardBit 4.0 є варіантом програм-вимагачів, який використовує інфектор файлів Neshta як драйвер і постачається в обох CLI та GUI збірках. На відміну від багатьох сучасних команд, він не пов’язаний з порталом двоїстого витоку і може включати опціональну функцію “Wiper”, призначену для незворотного пошкодження даних. Виконання обмежено ідентифікатором авторизації в реальному часі та ключем шифрування, ефективно додаючи контроль типу парольної фрази перед початком шифрування.
Розслідування
Оцінка передбачає, що первинний доступ зазвичай відбувається через активність брутфорсу RDP з використанням інструменту NLBrute, після чого відбувається видобування облікових даних за допомогою Mimikatz. Потім проходження через мережу здійснюється через RDP з використанням викрадених облікових даних, підтримане засобами виявлення та сканування, такими як KPortScan 3.0 та Advanced Port Scanner. Neshta використовується для завантаження програми-вимагача у каталог %TEMP% та для збереження шляхом зміни реєстру так, щоб шкідливе програмне забезпечення викликалось щоразу при запуску будь-якого файлу .exe.
Пом’якшення
Вимагайте потужні, унікальні паролі для облікових записів з підтримкою RDP та зменшуйте зовнішній доступ до RDP, де це можливо. Слідкуйте за змінами в реєстрі, пов’язаними з маніпуляціями Windows Defender та svchost.com механізмом збереження. Впроваджуйте список дозволених застосувань і поведінковий контроль для виявлення або блокування несанкціонованого використання Mimikatz та інструментів сканування мережі.
Відповідь
Якщо виявлена підозріла активність, ізолюйте хост, зберіть волатильні докази та зупиніть процес програм-вимагачів. Відновіть дані, які постраждали, лише з надійних резервних копій після підтвердження, що загроза була повністю усунута. Закінчіть судово-медичну верифікацію, переглянувши зміни в реєстрі, заплановані завдання та будь-які артефакти дампу облікових даних.
“graph TB %% Класифікації classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Вузли технік tech_bruteforce[“<b>Техніка</b> – <b>T1110 Брут-форс</b><br />Спроби вгадати паролі за допомогою багаторазових перевірок облікових даних.”] class tech_bruteforce action tech_exploit_remote[“<b>Техніка</b> – <b>T1210 Використання віддалених сервісів</b><br />Використовує дійсні облікові дані для доступу до систем через RDP або SMB.”] class tech_exploit_remote action tech_cred_dump[“<b>Техніка</b> – <b>T1003 Витяг облікових даних ОС</b><br />Витягує облікові дані з пам’яті або реєстру.”] class tech_cred_dump action tech_discovery[“<b>Техніка</b> – <b>T1018 Виявлення віддалених систем</b><br />Перелічує хости, загальні папки та відкриті порти.”] class tech_discovery action tech_rdp_lateral[“<b>Техніка</b> – <b>T1021.001 Віддалені сервіси: RDP</b><br />Встановлює RDP сесії для горизонтального переміщення.”] class tech_rdp_lateral action tech_powershell[“<b>Техніка</b> – <b>T1059.001 PowerShell</b><br />Запускає команди PowerShell для зміни налаштувань Захисника.”] class tech_powershell action tech_obfuscation[“<b>Техніка</b> – <b>T1027 Заплутані файли або інформація</b><br />Бінарний файл програми-вимагача заплутаний за допомогою ConfuserEx.”] class tech_obfuscation action tech_proxy_exec[“<b>Техніка</b> – <b>T1218 Виконання системного бінарного проксі</b><br />Використовує ShellExecuteA для запуску навантаження від дропера.”] class tech_proxy_exec action tech_persistence[“<b>Техніка</b> – <b>T1547.014 Запускавтозавантаження при придаленні або входу: Активне налаштування</b><br />Змінює реєстр HKLM для збереження присутності.”] class tech_persistence action tech_event_trigger[“<b>Техніка</b> – <b>T1546.002 Запуск за подіями: Зберігач екрану</b><br />Запускає дропер при активації зберігача екрану.”] class tech_event_trigger action tech_encryption[“<b>Техніка</b> – <b>T1486 Шифрування даних для впливу</b><br />Шифрує файли та відображає повідомлення з вимогою викупу.”] class tech_encryption action tech_inhibit_recovery[“<b>Техніка</b> – <b>T1490 Затримка відновлення системи</b><br />Видаляє тіньові копії та відключає служби резервного копіювання.”] class tech_inhibit_recovery action tech_service_stop[“<b>Техніка</b> – <b>T1489 Зупинка сервісів</b><br />Зупиняє служби безпеки та резервного копіювання.”] class tech_service_stop action tech_disk_wipe[“<b>Техніка</b> – <b>T1561 Очищення диску</b><br />Зупиняє служби і може активувати режим чистильника для знищення даних.”] class tech_disk_wipe action %% Вузли інструментів tool_nlbrute[“<b>Інструмент</b> – <b>Назва</b>: NLBrute<br /><b>Опис</b>: Брут-зламує RDP та SMB сервіси.”] class tool_nlbrute tool tool_mimikatz[“<b>Інструмент</b> – <b>Назва</b>: Mimikatz<br /><b>Опис</b>: Витягує облікові дані з пам’яті та SAM.”] class tool_mimikatz tool tool_kportscan[“<b>Інструмент</b> – <b>Назва</b>: KPortScan<br /><b>Опис</b>: Сканує порти на віддалених хостах.”] class tool_kportscan tool tool_adv_port_scanner[“<b>Інструмент</b> – <b>Назва</b>: Advanced Port Scanner<br /><b>Опис</b>: Перелічує відкриті порти та сервіси.”] class tool_adv_port_scanner tool tool_new_exe[“<b>Інструмент</b> – <b>Назва</b>: 5u2011NS new.exe<br /><b>Опис</b>: Спеціальний сканер для виявлення хостів.”] class tool_new_exe tool tool_powershell_cmd[“<b>Інструмент</b> – <b>Назва</b>: PowerShell Setu2011MpPreference<br /><b>Опис</b>: Вимкнення функцій Windows Defender.”] class tool_powershell_cmd tool tool_confuserex[“<b>Інструмент</b> – <b>Назва</b>: ConfuserEx<br /><b>Опис</b>: .NET обфускатор, використаний на бінарній програмі-вимагачі.”] class tool_confuserex tool tool_shellexecute[“<b>Інструмент</b> – <b>Назва</b>: ShellExecuteA API<br /><b>Опис</b>: Виконує файли через системні бінарні файли.”] class tool_shellexecute tool tool_vssadmin[“<b>Інструмент</b> – <b>Назва</b>: vssadmin<br /><b>Опис</b>: Видаляє тіньові копії томів.”] class tool_vssadmin tool tool_wbadmin[“<b>Інструмент</b> – <b>Назва</b>: wbadmin<br /><b>Опис</b>: Вимикає служби резервного копіювання.”] class tool_wbadmin tool tool_bcdedit[“<b>Інструмент</b> – <b>Назва</b>: bcdedit<br /><b>Опис</b>: Змінює дані конфігурації завантаження.”] class tool_bcdedit tool %% Зв’язки між техніками tech_bruteforce u002du002d>|leads_to| tech_exploit_remote tech_exploit_remote u002du002d>|leads_to| tech_cred_dump tech_cred_dump u002du002d>|leads_to| tech_discovery tech_discovery u002du002d>|leads_to| tech_rdp_lateral tech_rdp_lateral u002du002d>|leads_to| tech_powershell tech_powershell u002du002d>|leads_to| tech_obfuscation tech_obfuscation u002du002d>|leads_to| tech_proxy_exec tech_proxy_exec u002du002d>|leads_to| tech_persistence tech_persistence u002du002d>|leads_to| tech_event_trigger tech_event_trigger u002du002d>|leads_to| tech_encryption tech_encryption u002du002d>|leads_to| tech_inhibit_recovery tech_inhibit_recovery u002du002d>|leads_to| tech_service_stop tech_service_stop u002du002d>|leads_to| tech_disk_wipe %% Використання інструментів техніками tech_bruteforce u002du002d>|uses| tool_nlbrute tech_cred_dump u002du002d>|uses| tool_mimikatz tech_discovery u002du002d>|uses| tool_kportscan tech_discovery u002du002d>|uses| tool_adv_port_scanner tech_discovery u002du002d>|uses| tool_new_exe tech_powershell u002du002d>|uses| tool_powershell_cmd tech_obfuscation u002du002d>|uses| tool_confuserex tech_proxy_exec u002du002d>|uses| tool_shellexecute tech_inhibit_recovery u002du002d>|uses| tool_vssadmin tech_inhibit_recovery u002du002d>|uses| tool_wbadmin tech_inhibit_recovery u002du002d>|uses| tool_bcdedit “
Потік атаки
Виявлення
Підозріла активність інструменту Wbadmin (через cmdline)
Перегляд
LOLBAS WScript / CScript (через process_creation)
Перегляд
Вимкнення захисту Windows Defender (через registry_event)
Перегляд
Підозріле виконання Bcdedit (через cmdline)
Перегляд
Створення або видалення тіньової копії за допомогою Powershell, CMD або WMI (через cmdline)
Перегляд
Підозріла активність VSSADMIN (через cmdline)
Перегляд
IOCs (електронні адреси) для виявлення: аналіз програм-вимагачів HardBit 4.0
Перегляд
Виявлення маніпуляцій з функціями безпеки Windows Defender програмою HardBit 4.0 [Захід у Windows Registry]
Перегляд
Виявлення виконання Mimikatz через користувацький пакетний скрипт [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумови: Перевірка телеметрії та базових показників повинна бути пройдена.
Остання частина цього розділу описує точне виконання техніки супротивника (TTP), призначеного для активації правила виявлення. Команди та розповідь повинні безпосередньо відображати виявлені TTP та прагнути згенерувати точну телеметрію, очікувану логікою виявлення.
-
Оповідання про атаку та команди:
Супротивник отримав локальні адміністративні привілеї на скомпрометованій робочій станції. Щоб отримати облікові дані, вони завантажують користувацький пакетний файл під назвою!start.batв ту ж директорію, що йmimikatz.exe. Пакетний файл просто запускає mimikatz з командамиprivilege::debugandsekurlsa::logonpasswords. Запустивши пакетний файл з PowerShell-підказки, командний рядок, записаний в події 4688, міститиме буквально рядок!start.bat, відповідаючи умовам виявлення. -
Скрипт тесту на регресію:
# --------------------------------------------------------- # Налаштування: створити тимчасовий каталог і розмістити mimikatz # --------------------------------------------------------- $tempDir = "$env:TEMPmimikatz_test" New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # Припустимо, що mimikatz.exe доступний за адресою C:Toolsmimikatz.exe Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force # --------------------------------------------------------- # Створити користувацький пакетний скрипт !start.bat # --------------------------------------------------------- $batPath = Join-Path $tempDir "!start.bat" @' @echo off "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit '@ | Set-Content -Path $batPath -Encoding ASCII # --------------------------------------------------------- # Виконати пакетний скрипт (це крок, що повинен активуватися) # --------------------------------------------------------- $cmd = "cmd.exe /c `"$batPath`"" Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow # --------------------------------------------------------- # Зачекати короткий період для забезпечення запису події # --------------------------------------------------------- Start-Sleep -Seconds 5 -
Команди очищення:
# Видалити тимчасовий каталог і всі артефакти Remove-Item -Path $tempDir -Recurse -Force