HardBit 4.0: Analisi del Ransomware e Risultati Chiave
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
HardBit 4.0 è una variante di ransomware che utilizza l’infettore di file Neshta come dropper ed è distribuito in versioni both CLI e GUI. A differenza di molti team moderni, non è legato a un portale di leak a doppia estorsione e può includere una capacità opzionale di ‘Wiper’ progettata per danneggiare irreversibilmente i dati. L’esecuzione è condizionata da un ID di autorizzazione runtime e una chiave di crittografia, aggiungendo efficacemente un controllo in stile passphrase prima che la crittografia inizi.
Indagine
La valutazione suggerisce che l’accesso iniziale avviene comunemente tramite attività di brute-force RDP utilizzando lo strumento NLBrute, seguita da un raccolta di credenziali tramite Mimikatz. Il movimento laterale viene quindi effettuato su RDP con le credenziali rubate, supportato da utility di scoperta e scansione come KPortScan 3.0 e Advanced Port Scanner. Neshta viene utilizzato per depositare il ransomware nella directory %TEMP% e persistere alterando il registro in modo che il malware venga invocato ogni volta che un file .exe viene lanciato.
Mitigazione
Richiedere password forti e uniche per gli account abilitati a RDP e ridurre l’esposizione esterna di RDP ove possibile. Osservare le modifiche al registro associate al manomissione di Windows Defender e il svchost.com meccanismo di persistenza. Implementare una lista di permessi delle applicazioni e controlli comportamentali per rilevare o bloccare l’uso non autorizzato di Mimikatz e strumenti di scansione della rete.
Risposta
Se viene rilevata attività sospetta, isolare l’host, acquisire prove volatili e interrompere il processo ransomware. Recuperare i dati affetti solo da backup fidati dopo aver confermato che l’attore della minaccia è stato completamente rimosso. Completare la convalida forense esaminando le modifiche al registro, le attività pianificate e gli eventuali artefatti di dumping delle credenziali.
Flusso di Attacco
Rilevamenti
Attività Sospetta dello Strumento Wbadmin (via cmdline)
Visualizza
LOLBAS WScript / CScript (via process_creation)
Visualizza
Disabilitazione delle Protezioni di Windows Defender (via registry_event)
Visualizza
Esecuzione Sospetta di Bcdedit (via cmdline)
Visualizza
Crea o Elimina Copie Shadow tramite Powershell, CMD o WMI (via cmdline)
Visualizza
Attività Sospetta di VSSADMIN (via cmdline)
Visualizza
IOC (Email) da rilevare: Analisi del Ransomware HardBit 4.0
Visualizza
Rilevamento della Manomissione delle Funzioni di Sicurezza di Windows Defender da parte di HardBit 4.0 [Evento del Registro di Windows]
Visualizza
Rilevamento dell’Esecuzione di Mimikatz tramite Script Batch Personalizzato [Creazione Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Preliminare del Telemetria & Base deve essere passato.
Motivo: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP individuate e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco e Comandi:
L’avversario ha ottenuto privilegi amministrativi locali su una workstation compromessa. Per raccogliere credenziali, lascia un file batch personalizzato chiamato!start.batnella stessa directory dimimikatz.exe. Il file batch lancia semplicemente mimikatz con i comandiprivilege::debugandsekurlsa::logonpasswords. Invocando il file batch da un prompt PowerShell, la linea di comando registrata dall’Evento 4688 conterrà la stringa letterale!start.bat, soddisfacendo la condizione di rilevamento. -
Script di Test di Regressione:
# --------------------------------------------------------- # Setup: creare una directory temporanea e posizionare mimikatz # --------------------------------------------------------- $tempDir = "$env:TEMPmimikatz_test" New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # Si presuppone che mimikatz.exe sia disponibile in C:Toolsmimikatz.exe Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force # --------------------------------------------------------- # Creare lo script batch personalizzato !start.bat # --------------------------------------------------------- $batPath = Join-Path $tempDir "!start.bat" @' @echo off "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit '@ | Set-Content -Path $batPath -Encoding ASCII # --------------------------------------------------------- # Eseguire lo script batch (questo è lo step che dovrebbe attivarsi) # --------------------------------------------------------- $cmd = "cmd.exe /c `"$batPath`"" Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow # --------------------------------------------------------- # Attendere un breve periodo per assicurarsi che l'evento sia registrato # --------------------------------------------------------- Start-Sleep -Seconds 5 -
Comandi di Pulizia:
# Rimuovi la directory temporanea e tutti gli artefatti Remove-Item -Path $tempDir -Recurse -Force