HardBit 4.0: Ransomware-Analyse und Hauptergebnisse
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
HardBit 4.0 ist eine Ransomware-Variante, die den Neshta-Dateivirus als Dropper nutzt und sowohl in CLI- als auch GUI-Builds geliefert wird. Im Gegensatz zu vielen modernen Gruppen ist sie nicht an ein Doppel-Erpressungs-Leak-Portal gebunden und kann eine optionale ‚Wiper‘-Funktion enthalten, die darauf ausgelegt ist, Daten irreversibel zu beschädigen. Die Ausführung wird durch eine Laufzeit-Autorisierungs-ID und einen Verschlüsselungsschlüssel gesteuert, was effektiv eine Passphrasen-Steuerung vor Beginn der Verschlüsselung einfügt.
Untersuchung
Die Bewertung legt nahe, dass der anfängliche Zugriff häufig durch Brute-Force-RDP-Aktivität mithilfe des NLBrute-Tools erfolgt, gefolgt vom Ernten von Anmeldeinformationen über Mimikatz. Die seitliche Bewegung erfolgt dann über RDP mit den gestohlenen Anmeldeinformationen, unterstützt durch Discovery- und Scanning-Utilities wie KPortScan 3.0 und Advanced Port Scanner. Neshta wird verwendet, um die Ransomware im %TEMP%-Verzeichnis abzulegen und durch Ändern der Registrierung beizubehalten, sodass die Malware immer dann aufgerufen wird, wenn eine .exe-Datei gestartet wird.
Eindämmung
Verlagen Sie starke, eindeutige Passwörter für RDP-fähige Konten und reduzieren Sie die externe RDP-Exposition, wo immer möglich. Beobachten Sie Registrierungsänderungen, die mit der Manipulation von Windows Defender verbunden sind, und dem svchost.com Persistenzmechanismus. Implementieren Sie Anwendungs-Whitelisting und Verhaltenskontrollen, um den unbefugten Gebrauch von Mimikatz und Netzwerkscanner-Tools zu erkennen oder zu blockieren.
Reaktion
Wenn verdächtige Aktivitäten festgestellt werden, isolieren Sie den Host, erfassen flüchtige Beweise und stoppen Sie den Ransomware-Prozess. Stellen Sie betroffene Daten nur aus vertrauenswürdigen Sicherungen wieder her, nachdem sichergestellt wurde, dass der Bedrohungsakteur vollständig entfernt wurde. Führen Sie eine vollständige forensische Validierung durch, indem Sie Registry-Modifikationen, geplante Aufgaben und alle Credential-Dump-Artefakte überprüfen.
Angriffsablauf
Erkennungen
Verdächtige Wbadmin-Tool-Aktivität (über cmdline)
Anzeigen
LOLBAS WScript / CScript (über Prozess-Erstellung)
Anzeigen
Deaktivierung von Windows Defender-Schutz (über Registrierungsevent)
Anzeigen
Verdächtige Bcdedit-Ausführung (über cmdline)
Anzeigen
Erstellen oder Löschen von Schattenkopien über Powershell, CMD oder WMI (über cmdline)
Anzeigen
Verdächtige VSSADMIN-Aktivität (über cmdline)
Anzeigen
IOC (E-Mails) zur Erkennung: HardBit 4.0 Ransomware-Analyse
Anzeigen
Erkennung der Manipulation von Windows Defender-Sicherheitsfunktionen durch HardBit 4.0 [Windows Registry Event]
Anzeigen
Erkennung der Mimikatz-Ausführung über benutzerdefiniertes Batch-Skript [Windows Prozess-Erstellung]
Anzeigen
Simulation der Ausführung
Voraussetzung: Der Telemetrie- und Basislinien-Preflight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel zu aktivieren. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffsnarrativ & Kommandos:
Der Angreifer hat lokale Administratorrechte auf einer kompromittierten Workstation erlangt. Um Anmeldedaten zu ernten, lassen sie eine benutzerdefinierte Batch-Datei mit dem Namen!start.batim selben Verzeichnis wiemimikatz.exeablegen. Die Batch-Datei startet einfach Mimikatz mit denprivilege::debugandsekurlsa::logonpasswordsBefehlen. Durch das Aufrufen der Batch-Datei von einer PowerShell-Eingabeaufforderung wird die Befehlszeile, die von Ereignis 4688 aufgezeichnet wird, die Zeichenkette!start.batenthalten, die die Erkennungsbedingung erfüllt. -
Regressionstestskript:
# --------------------------------------------------------- # Setup: Erstellen Sie ein temporäres Verzeichnis und platzieren Sie Mimikatz # --------------------------------------------------------- $tempDir = "$env:TEMPmimikatz_test" New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # Gehen Sie davon aus, dass mimikatz.exe unter C:Toolsmimikatz.exe verfügbar ist Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force # --------------------------------------------------------- # Erstellen Sie das benutzerdefinierte Batch-Skript !start.bat # --------------------------------------------------------- $batPath = Join-Path $tempDir "!start.bat" @' @echo off "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit '@ | Set-Content -Path $batPath -Encoding ASCII # --------------------------------------------------------- # Führen Sie das Batch-Skript aus (dieser Schritt sollte auslösen) # --------------------------------------------------------- $cmd = "cmd.exe /c `"$batPath`"" Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow # --------------------------------------------------------- # Warten Sie eine kurze Zeit, um sicherzustellen, dass das Ereignis protokolliert wird # --------------------------------------------------------- Start-Sleep -Seconds 5 -
Bereinigungskommandos:
# Entfernen Sie das temporäre Verzeichnis und alle Artefakte Remove-Item -Path $tempDir -Recurse -Force