SOC Prime Bias: Alto

29 Dic 2025 11:37
newspaper icon picussecurity.com

HardBit 4.0: Analisi del Ransomware e Risultati Chiave

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
HardBit 4.0: Analisi del Ransomware e Risultati Chiave
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riassunto

HardBit 4.0 è una variante di ransomware che utilizza l’infettore di file Neshta come dropper ed è distribuito in versioni both CLI e GUI. A differenza di molti team moderni, non è legato a un portale di leak a doppia estorsione e può includere una capacità opzionale di ‘Wiper’ progettata per danneggiare irreversibilmente i dati. L’esecuzione è condizionata da un ID di autorizzazione runtime e una chiave di crittografia, aggiungendo efficacemente un controllo in stile passphrase prima che la crittografia inizi.

Indagine

La valutazione suggerisce che l’accesso iniziale avviene comunemente tramite attività di brute-force RDP utilizzando lo strumento NLBrute, seguita da un raccolta di credenziali tramite Mimikatz. Il movimento laterale viene quindi effettuato su RDP con le credenziali rubate, supportato da utility di scoperta e scansione come KPortScan 3.0 e Advanced Port Scanner. Neshta viene utilizzato per depositare il ransomware nella directory %TEMP% e persistere alterando il registro in modo che il malware venga invocato ogni volta che un file .exe viene lanciato.

Mitigazione

Richiedere password forti e uniche per gli account abilitati a RDP e ridurre l’esposizione esterna di RDP ove possibile. Osservare le modifiche al registro associate al manomissione di Windows Defender e il svchost.com meccanismo di persistenza. Implementare una lista di permessi delle applicazioni e controlli comportamentali per rilevare o bloccare l’uso non autorizzato di Mimikatz e strumenti di scansione della rete.

Risposta

Se viene rilevata attività sospetta, isolare l’host, acquisire prove volatili e interrompere il processo ransomware. Recuperare i dati affetti solo da backup fidati dopo aver confermato che l’attore della minaccia è stato completamente rimosso. Completare la convalida forense esaminando le modifiche al registro, le attività pianificate e gli eventuali artefatti di dumping delle credenziali.

“graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nodi delle tecniche tech_bruteforce[“<b>Tecnica</b> – <b>T1110 Brute Force</b><br/>Tenta di indovinare le password provando ripetutamente le credenziali.”] class tech_bruteforce action tech_exploit_remote[“<b>Tecnica</b> – <b>T1210 Sfruttamento dei Servizi Remoti</b><br/>Utilizza credenziali valide per accedere ai sistemi via RDP o SMB.”] class tech_exploit_remote action tech_cred_dump[“<b>Tecnica</b> – <b>T1003 Dump delle Credenziali di OS</b><br/>Estrae le credenziali dalla memoria o dal registro.”] class tech_cred_dump action tech_discovery[“<b>Tecnica</b> – <b>T1018 Scoperta dei Sistemi Remoti</b><br/>Enumerazione degli host, condivisioni e porte aperte.”] class tech_discovery action tech_rdp_lateral[“<b>Tecnica</b> – <b>T1021.001 Servizi Remoti: RDP</b><br/>Instaurazione di sessioni RDP per movimento laterale.”] class tech_rdp_lateral action tech_powershell[“<b>Tecnica</b> – <b>T1059.001 PowerShell</b><br/>Esecuzione di comandi PowerShell per modificare le impostazioni di Defender.”] class tech_powershell action tech_obfuscation[“<b>Tecnica</b> – <b>T1027 File o Informazioni Offuscate</b><br/>Il binario del ransomware è offuscato in .NET con ConfuserEx.”] class tech_obfuscation action tech_proxy_exec[“<b>Tecnica</b> – <b>T1218 Esecuzione di Proxy di Binari di Sistema</b><br/>Utilizza ShellExecuteA per lanciare il payload dal dropper.”] class tech_proxy_exec action tech_persistence[“<b>Tecnica</b> – <b>T1547.014 Esecuzione di Avvio o Accesso Automatico: Active Setup</b><br/>Modifica il registro di sistema HKLM per la persistenza.”] class tech_persistence action tech_event_trigger[“<b>Tecnica</b> – <b>T1546.002 Esecuzione Attivata da Evento: Screensaver</b><br/>Esegue il dropper quando si attiva lo screensaver.”] class tech_event_trigger action tech_encryption[“<b>Tecnica</b> – <b>T1486 Dati Cifrati per Compromissione</b><br/>Cifra i file e visualizza la richiesta di riscatto.”] class tech_encryption action tech_inhibit_recovery[“<b>Tecnica</b> – <b>T1490 Inibire il Recupero del Sistema</b><br/>Elimina le copie shadow e disabilita i servizi di backup.”] class tech_inhibit_recovery action tech_service_stop[“<b>Tecnica</b> – <b>T1489 Stop del Servizio</b><br/>Arresta i servizi di sicurezza e di backup.”] class tech_service_stop action tech_disk_wipe[“<b>Tecnica</b> – <b>T1561 Cancellazione del Disco</b><br/>Arresta i servizi e può attivare la modalità wipe per distruggere i dati.”] class tech_disk_wipe action %% Nodi degli strumenti tool_nlbrute[“<b>Strumento</b> – <b>Nome</b>: NLBrute<br/><b>Descrizione</b>: Esegue brute force sui servizi RDP e SMB.”] class tool_nlbrute tool tool_mimikatz[“<b>Strumento</b> – <b>Nome</b>: Mimikatz<br/><b>Descrizione</b>: Scarica le credenziali dalla memoria e SAM.”] class tool_mimikatz tool tool_kportscan[“<b>Strumento</b> – <b>Nome</b>: KPortScan<br/><b>Descrizione</b>: Scansiona le porte sugli host remoti.”] class tool_kportscan tool tool_adv_port_scanner[“<b>Strumento</b> – <b>Nome</b>: Advanced Port Scanner<br/><b>Descrizione</b>: Enumera porte aperte e servizi.”] class tool_adv_port_scanner tool tool_new_exe[“<b>Strumento</b> – <b>Nome</b>: 5u2011NS new.exe<br/><b>Descrizione</b>: Scanner personalizzato per enumeration dell’host.”] class tool_new_exe tool tool_powershell_cmd[“<b>Strumento</b> – <b>Nome</b>: PowerShell Setu2011MpPreference<br/><b>Descrizione</b>: Disabilita le funzionalità di Windows Defender.”] class tool_powershell_cmd tool tool_confuserex[“<b>Strumento</b> – <b>Nome</b>: ConfuserEx<br/><b>Descrizione</b>: Offuscatore .NET utilizzato sul binario del ransomware.”] class tool_confuserex tool tool_shellexecute[“<b>Strumento</b> – <b>Nome</b>: API ShellExecuteA<br/><b>Descrizione</b>: Esegue file tramite binari di sistema.”] class tool_shellexecute tool tool_vssadmin[“<b>Strumento</b> – <b>Nome</b>: vssadmin<br/><b>Descrizione</b>: Elimina le Copie Shadow del Volume.”] class tool_vssadmin tool tool_wbadmin[“<b>Strumento</b> – <b>Nome</b>: wbadmin<br/><b>Descrizione</b>: Disabilita i servizi di backup.”] class tool_wbadmin tool tool_bcdedit[“<b>Strumento</b> – <b>Nome</b>: bcdedit<br/><b>Descrizione</b>: Modifica i dati di configurazione di avvio.”] class tool_bcdedit tool %% Connessioni tra le tecniche tech_bruteforce u002du002d>|porta_a| tech_exploit_remote tech_exploit_remote u002du002d>|porta_a| tech_cred_dump tech_cred_dump u002du002d>|porta_a| tech_discovery tech_discovery u002du002d>|porta_a| tech_rdp_lateral tech_rdp_lateral u002du002d>|porta_a| tech_powershell tech_powershell u002du002d>|porta_a| tech_obfuscation tech_obfuscation u002du002d>|porta_a| tech_proxy_exec tech_proxy_exec u002du002d>|porta_a| tech_persistence tech_persistence u002du002d>|porta_a| tech_event_trigger tech_event_trigger u002du002d>|porta_a| tech_encryption tech_encryption u002du002d>|porta_a| tech_inhibit_recovery tech_inhibit_recovery u002du002d>|porta_a| tech_service_stop tech_service_stop u002du002d>|porta_a| tech_disk_wipe %% Uso della tecnica agli strumenti tech_bruteforce u002du002d>|usa| tool_nlbrute tech_cred_dump u002du002d>|usa| tool_mimikatz tech_discovery u002du002d>|usa| tool_kportscan tech_discovery u002du002d>|usa| tool_adv_port_scanner tech_discovery u002du002d>|usa| tool_new_exe tech_powershell u002du002d>|usa| tool_powershell_cmd tech_obfuscation u002du002d>|usa| tool_confuserex tech_proxy_exec u002du002d>|usa| tool_shellexecute tech_inhibit_recovery u002du002d>|usa| tool_vssadmin tech_inhibit_recovery u002du002d>|usa| tool_wbadmin tech_inhibit_recovery u002du002d>|usa| tool_bcdedit “

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Preliminare del Telemetria & Base deve essere passato.

Motivo: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP individuate e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco e Comandi:
    L’avversario ha ottenuto privilegi amministrativi locali su una workstation compromessa. Per raccogliere credenziali, lascia un file batch personalizzato chiamato !start.bat nella stessa directory di mimikatz.exe. Il file batch lancia semplicemente mimikatz con i comandi privilege::debug and sekurlsa::logonpasswords . Invocando il file batch da un prompt PowerShell, la linea di comando registrata dall’Evento 4688 conterrà la stringa letterale !start.bat, soddisfacendo la condizione di rilevamento.

  • Script di Test di Regressione:

    # ---------------------------------------------------------
# Setup: creare una directory temporanea e posizionare mimikatz
# ---------------------------------------------------------
$tempDir = "$env:TEMPmimikatz_test"
New-Item -ItemType Directory -Force -Path $tempDir | Out-Null

# Si presuppone che mimikatz.exe sia disponibile in C:Toolsmimikatz.exe
Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force

# ---------------------------------------------------------
# Creare lo script batch personalizzato !start.bat
# ---------------------------------------------------------
$batPath = Join-Path $tempDir "!start.bat"
@'
@echo off
"mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit
'@ | Set-Content -Path $batPath -Encoding ASCII

# ---------------------------------------------------------
# Eseguire lo script batch (questo è lo step che dovrebbe attivarsi)
# ---------------------------------------------------------
$cmd = "cmd.exe /c `"$batPath`""
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow

# ---------------------------------------------------------
# Attendere un breve periodo per assicurarsi che l'evento sia registrato
# ---------------------------------------------------------
Start-Sleep -Seconds 5

  • Comandi di Pulizia:

    # Rimuovi la directory temporanea e tutti gli artefatti
Remove-Item -Path $tempDir -Recurse -Force

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis