SOC Prime Bias: Hoch

29 Dec 2025 08:37 UTC

HardBit 4.0: Ransomware-Analyse und Hauptergebnisse

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
HardBit 4.0: Ransomware-Analyse und Hauptergebnisse
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

HardBit 4.0 ist eine Ransomware-Variante, die den Neshta-Dateivirus als Dropper nutzt und sowohl in CLI- als auch GUI-Builds geliefert wird. Im Gegensatz zu vielen modernen Gruppen ist sie nicht an ein Doppel-Erpressungs-Leak-Portal gebunden und kann eine optionale ‚Wiper‘-Funktion enthalten, die darauf ausgelegt ist, Daten irreversibel zu beschädigen. Die Ausführung wird durch eine Laufzeit-Autorisierungs-ID und einen Verschlüsselungsschlüssel gesteuert, was effektiv eine Passphrasen-Steuerung vor Beginn der Verschlüsselung einfügt.

Untersuchung

Die Bewertung legt nahe, dass der anfängliche Zugriff häufig durch Brute-Force-RDP-Aktivität mithilfe des NLBrute-Tools erfolgt, gefolgt vom Ernten von Anmeldeinformationen über Mimikatz. Die seitliche Bewegung erfolgt dann über RDP mit den gestohlenen Anmeldeinformationen, unterstützt durch Discovery- und Scanning-Utilities wie KPortScan 3.0 und Advanced Port Scanner. Neshta wird verwendet, um die Ransomware im %TEMP%-Verzeichnis abzulegen und durch Ändern der Registrierung beizubehalten, sodass die Malware immer dann aufgerufen wird, wenn eine .exe-Datei gestartet wird.

Eindämmung

Verlagen Sie starke, eindeutige Passwörter für RDP-fähige Konten und reduzieren Sie die externe RDP-Exposition, wo immer möglich. Beobachten Sie Registrierungsänderungen, die mit der Manipulation von Windows Defender verbunden sind, und dem svchost.com Persistenzmechanismus. Implementieren Sie Anwendungs-Whitelisting und Verhaltenskontrollen, um den unbefugten Gebrauch von Mimikatz und Netzwerkscanner-Tools zu erkennen oder zu blockieren.

Reaktion

Wenn verdächtige Aktivitäten festgestellt werden, isolieren Sie den Host, erfassen flüchtige Beweise und stoppen Sie den Ransomware-Prozess. Stellen Sie betroffene Daten nur aus vertrauenswürdigen Sicherungen wieder her, nachdem sichergestellt wurde, dass der Bedrohungsakteur vollständig entfernt wurde. Führen Sie eine vollständige forensische Validierung durch, indem Sie Registry-Modifikationen, geplante Aufgaben und alle Credential-Dump-Artefakte überprüfen.

Angriffsablauf

Simulation der Ausführung

Voraussetzung: Der Telemetrie- und Basislinien-Preflight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel zu aktivieren. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffsnarrativ & Kommandos:
    Der Angreifer hat lokale Administratorrechte auf einer kompromittierten Workstation erlangt. Um Anmeldedaten zu ernten, lassen sie eine benutzerdefinierte Batch-Datei mit dem Namen !start.bat im selben Verzeichnis wie mimikatz.exeablegen. Die Batch-Datei startet einfach Mimikatz mit den privilege::debug and sekurlsa::logonpasswords Befehlen. Durch das Aufrufen der Batch-Datei von einer PowerShell-Eingabeaufforderung wird die Befehlszeile, die von Ereignis 4688 aufgezeichnet wird, die Zeichenkette !start.batenthalten, die die Erkennungsbedingung erfüllt.

  • Regressionstestskript:

    # ---------------------------------------------------------
    # Setup: Erstellen Sie ein temporäres Verzeichnis und platzieren Sie Mimikatz
    # ---------------------------------------------------------
    $tempDir = "$env:TEMPmimikatz_test"
    New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
    
    # Gehen Sie davon aus, dass mimikatz.exe unter C:Toolsmimikatz.exe verfügbar ist
    Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force
    
    # ---------------------------------------------------------
    # Erstellen Sie das benutzerdefinierte Batch-Skript !start.bat
    # ---------------------------------------------------------
    $batPath = Join-Path $tempDir "!start.bat"
    @'
    @echo off
    "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit
    '@ | Set-Content -Path $batPath -Encoding ASCII
    
    # ---------------------------------------------------------
    # Führen Sie das Batch-Skript aus (dieser Schritt sollte auslösen)
    # ---------------------------------------------------------
    $cmd = "cmd.exe /c `"$batPath`""
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow
    
    # ---------------------------------------------------------
    # Warten Sie eine kurze Zeit, um sicherzustellen, dass das Ereignis protokolliert wird
    # ---------------------------------------------------------
    Start-Sleep -Seconds 5
  • Bereinigungskommandos:

    # Entfernen Sie das temporäre Verzeichnis und alle Artefakte
    Remove-Item -Path $tempDir -Recurse -Force