Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
HardBit 4.0 es una variante de ransomware que utiliza el infector de archivos Neshta como su cargador y se entrega en versiones tanto de CLI como de GUI. A diferencia de muchos grupos modernos, no está vinculado a un portal de filtraciones de doble extorsión y puede incluir una capacidad opcional de «Borrador» diseñada para dañar irreversiblemente los datos. La ejecución está controlada por un ID de autorización de tiempo de ejecución y una clave de cifrado, agregando efectivamente un control de estilo frase de contraseña antes de que comience el cifrado.
Investigación
La evaluación sugiere que el acceso inicial generalmente ocurre mediante actividad de fuerza bruta a través de RDP utilizando la herramienta NLBrute, seguido de la cosecha de credenciales a través de Mimikatz. El movimiento lateral se lleva a cabo luego a través de RDP con las credenciales robadas, apoyado por utilidades de descubrimiento y escaneo como KPortScan 3.0 y Advanced Port Scanner. Neshta se utiliza para soltar el ransomware en el directorio %TEMP% y persistir alterando el registro para que el malware se invoque cada vez que se inicie cualquier archivo .exe.
Mitigación
Requerir contraseñas fuertes y únicas para las cuentas habilitadas con RDP y reducir la exposición externa de RDP siempre que sea posible. Esté atento a los cambios en el registro asociados con la manipulación de Windows Defender y el svchost.com mecanismo de persistencia. Implementar lista de permitidos de aplicaciones y controles de comportamiento para detectar o bloquear el uso no autorizado de Mimikatz y herramientas de escaneo de red.
Respuesta
Si se encuentra actividad sospechosa, aísle el host, capture evidencia volátil y detenga el proceso de ransomware. Recupere los datos afectados de copias de seguridad confiables solo después de confirmar que el actor de la amenaza ha sido completamente removido. Complete la validación forense revisando las modificaciones del registro, las tareas programadas y cualquier artefacto de volcado de credenciales.
«graph TB %% Definiciones de clases classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nodos de técnica tech_bruteforce[«<b>Técnica</b> – <b>T1110 Fuerza bruta</b><br/>Intentos de adivinar contraseñas mediante la repetición de credenciales.»] class tech_bruteforce action tech_exploit_remote[«<b>Técnica</b> – <b>T1210 Explotación de Servicios Remotos</b><br/>Usa credenciales válidas para acceder a sistemas vía RDP o SMB.»] class tech_exploit_remote action tech_cred_dump[«<b>Técnica</b> – <b>T1003 Volcado de Credenciales del SO</b><br/>Extrae credenciales de la memoria o del registro.»] class tech_cred_dump action tech_discovery[«<b>Técnica</b> – <b>T1018 Descubrimiento de Sistemas Remotos</b><br/>Enumera hosts, comparticiones y puertos abiertos.»] class tech_discovery action tech_rdp_lateral[«<b>Técnica</b> – <b>T1021.001 Servicios Remotos: RDP</b><br/>Establece sesiones de RDP para movimiento lateral.»] class tech_rdp_lateral action tech_powershell[«<b>Técnica</b> – <b>T1059.001 PowerShell</b><br/>Ejecuta comandos de PowerShell para modificar configuraciones de Defender.»] class tech_powershell action tech_obfuscation[«<b>Técnica</b> – <b>T1027 Archivos o Información Ofuscada</b><br/>El binario de ransomware está ofuscado con .NETu2011 usando ConfuserEx.»] class tech_obfuscation action tech_proxy_exec[«<b>Técnica</b> – <b>T1218 Ejecución de Proxy de Binarios del Sistema</b><br/>Usa ShellExecuteA para lanzar carga útil desde el instalador.»] class tech_proxy_exec action tech_persistence[«<b>Técnica</b> – <b>T1547.014 Ejecución de Inicio Automático de Arranque o Inicio de Sesión: Configuración Activa</b><br/>Modifica el registro HKLM para persistencia.»] class tech_persistence action tech_event_trigger[«<b>Técnica</b> – <b>T1546.002 Ejecución Disparada por Evento: Protector de Pantalla</b><br/>Ejecuta el instalador cuando se activa el salvapantallas.»] class tech_event_trigger action tech_encryption[«<b>Técnica</b> – <b>T1486 Datos Cifrados para Impacto</b><br/>Cifra archivos y muestra nota de rescate.»] class tech_encryption action tech_inhibit_recovery[«<b>Técnica</b> – <b>T1490 Inhibir la Recuperación del Sistema</b><br/>Elimina copias de sombra y desactiva servicios de respaldo.»] class tech_inhibit_recovery action tech_service_stop[«<b>Técnica</b> – <b>T1489 Detención del Servicio</b><br/>Detiene servicios de seguridad y respaldo.»] class tech_service_stop action tech_disk_wipe[«<b>Técnica</b> – <b>T1561 Borrado de Disco</b><br/>Detiene servicios y puede activar el modo de borrado para destruir datos.»] class tech_disk_wipe action %% Nodos de herramientas tool_nlbrute[«<b>Herramienta</b> – <b>Nombre</b>: NLBrute<br/><b>Descripción</b>: Fuerza bruta en servicios RDP y SMB.»] class tool_nlbrute tool tool_mimikatz[«<b>Herramienta</b> – <b>Nombre</b>: Mimikatz<br/><b>Descripción</b>: Vuelca credenciales de la memoria y SAM.»] class tool_mimikatz tool tool_kportscan[«<b>Herramienta</b> – <b>Nombre</b>: KPortScan<br/><b>Descripción</b>: Escanea puertos en hosts remotos.»] class tool_kportscan tool tool_adv_port_scanner[«<b>Herramienta</b> – <b>Nombre</b>: Escáner Avanzado de Puertos<br/><b>Descripción</b>: Enumera puertos abiertos y servicios.»] class tool_adv_port_scanner tool tool_new_exe[«<b>Herramienta</b> – <b>Nombre</b>: 5u2011NS new.exe<br/><b>Descripción</b>: Escáner personalizado para enumeración de hosts.»] class tool_new_exe tool tool_powershell_cmd[«<b>Herramienta</b> – <b>Nombre</b>: Conjunto de PowerShellu2011 Preferencias MP<br/><b>Descripción</b>: Desactiva funciones de Windows Defender.»] class tool_powershell_cmd tool tool_confuserex[«<b>Herramienta</b> – <b>Nombre</b>: ConfuserEx<br/><b>Descripción</b>: Ofuscador .NET utilizado en binarios de ransomware.»] class tool_confuserex tool tool_shellexecute[«<b>Herramienta</b> – <b>Nombre</b>: API ShellExecuteA<br/><b>Descripción</b>: Ejecuta archivos mediante binarios del sistema.»] class tool_shellexecute tool tool_vssadmin[«<b>Herramienta</b> – <b>Nombre</b>: vssadmin<br/><b>Descripción</b>: Elimina copias de sombra de volumen.»] class tool_vssadmin tool tool_wbadmin[«<b>Herramienta</b> – <b>Nombre</b>: wbadmin<br/><b>Descripción</b>: Desactiva servicios de respaldo.»] class tool_wbadmin tool tool_bcdedit[«<b>Herramienta</b> – <b>Nombre</b>: bcdedit<br/><b>Descripción</b>: Modifica datos de configuración de arranque.»] class tool_bcdedit tool %% Conexiones entre técnicas tech_bruteforce u002du002d>|lleva_a| tech_exploit_remote tech_exploit_remote u002du002d>|lleva_a| tech_cred_dump tech_cred_dump u002du002d>|lleva_a| tech_discovery tech_discovery u002du002d>|lleva_a| tech_rdp_lateral tech_rdp_lateral u002du002d>|lleva_a| tech_powershell tech_powershell u002du002d>|lleva_a| tech_obfuscation tech_obfuscation u002du002d>|lleva_a| tech_proxy_exec tech_proxy_exec u002du002d>|lleva_a| tech_persistence tech_persistence u002du002d>|lleva_a| tech_event_trigger tech_event_trigger u002du002d>|lleva_a| tech_encryption tech_encryption u002du002d>|lleva_a| tech_inhibit_recovery tech_inhibit_recovery u002du002d>|lleva_a| tech_service_stop tech_service_stop u002du002d>|lleva_a| tech_disk_wipe %% Uso de herramienta por técnica tech_bruteforce u002du002d>|usa| tool_nlbrute tech_cred_dump u002du002d>|usa| tool_mimikatz tech_discovery u002du002d>|usa| tool_kportscan tech_discovery u002du002d>|usa| tool_adv_port_scanner tech_discovery u002du002d>|usa| tool_new_exe tech_powershell u002du002d>|usa| tool_powershell_cmd tech_obfuscation u002du002d>|usa| tool_confuserex tech_proxy_exec u002du002d>|usa| tool_shellexecute tech_inhibit_recovery u002du002d>|usa| tool_vssadmin tech_inhibit_recovery u002du002d>|usa| tool_wbadmin tech_inhibit_recovery u002du002d>|usa| tool_bcdedit «
Flujo de Ataque
Detecciones
Actividad sospechosa de la herramienta Wbadmin (a través de línea de comandos)
Ver
LOLBAS WScript / CScript (a través de creación de proceso)
Ver
Desactivación de Protecciones de Windows Defender (a través de evento de registro)
Ver
Ejecución sospechosa de Bcdedit (a través de línea de comandos)
Ver
Crear o eliminar copia sombra a través de Powershell, CMD o WMI (a través de línea de comandos)
Ver
Actividad sospechosa de VSSADMIN (a través de línea de comandos)
Ver
IOCs (Correos electrónicos) para detectar: Análisis de Ransomware HardBit 4.0
Ver
Detección de Manipulación de Características de Seguridad de Windows Defender por HardBit 4.0 [Evento de Registro de Windows]
Ver
Detección de Ejecución de Mimikatz a través de Script Batch Personalizado [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar exactamente la telemetría esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
El adversario ha obtenido privilegios administrativos locales en una estación de trabajo comprometida. Para recoger credenciales, colocan un archivo batch personalizado llamado!start.baten el mismo directorio quemimikatz.exe. El archivo batch simplemente lanza mimikatz con los comandosprivilege::debugandsekurlsa::logonpasswords. Al invocar el archivo batch desde un indicador de PowerShell, la línea de comandos registrada por el Evento 4688 contendrá la cadena literal!start.bat, satisfaciendo la condición de detección. -
Script de Prueba de Regresión:
# --------------------------------------------------------- # Configuración: crear un directorio temporal y colocar mimikatz # --------------------------------------------------------- $tempDir = "$env:TEMPmimikatz_test" New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # Asumir que mimikatz.exe está disponible en C:Toolsmimikatz.exe Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force # --------------------------------------------------------- # Crear el script batch personalizado !start.bat # --------------------------------------------------------- $batPath = Join-Path $tempDir "!start.bat" @' @echo off "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit '@ | Set-Content -Path $batPath -Encoding ASCII # --------------------------------------------------------- # Ejecutar el script batch (este es el paso que debería disparar) # --------------------------------------------------------- $cmd = "cmd.exe /c `"$batPath`"" Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow # --------------------------------------------------------- # Esperar un corto periodo para asegurar que el evento esté registrado # --------------------------------------------------------- Start-Sleep -Seconds 5 -
Comandos de Limpieza:
# Eliminar el directorio temporal y todos los artefactos Remove-Item -Path $tempDir -Recurse -Force