SOC Prime Bias:

29 Dec 2025 08:37 UTC

HardBit 4.0: ランサムウェア分析と主要な発見

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
HardBit 4.0: ランサムウェア分析と主要な発見
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

HardBit 4.0はNeshtaファイルインフェクターをドロッパーとして利用するランサムウェアのバリアントであり、CLIとGUIの両方のビルドで提供されます。多くの現代のクルーとは異なり、二重脅迫リークポータルと結びつくことはなく、データを不可逆に損傷するためのオプションの「ワイパー」能力を含む場合があります。実行はランタイム許可IDと暗号化キーによって制限されており、暗号化の前にパスフレーズスタイルの制御を追加しています。

調査

評価によると、最初のアクセスは一般的にNLBruteツールを使用したブルートフォースRDP活動を通じて発生し、その後、Mimikatzによる資格情報収集が続きます。横方向の移動は盗まれた資格情報を使ったRDP経由で行われ、KPortScan 3.0やAdvanced Port Scannerのような発見やスキャンユーティリティによってサポートされています。Neshtaはランサムウェアを%TEMP%ディレクトリにドロップし、レジストリを変更することで持続性を持ち、任意の.exeが起動されるたびにマルウェアが呼び出されます。

緩和策

RDP対応アカウントには強力でユニークなパスワードを求め、可能な限り外部RDPの露出を削減します。Windows Defenderの改ざんに関連するレジストリの変更に注意し、 svchost.com 持続メカニズムを監視します。Mimikatzとネットワークスキャンツールの不正使用を検出またはブロックするためにアプリケーションの許可リストと行動制御を実施します。

対応

疑わしい活動が見つかった場合、ホストを隔離し、揮発性の証拠をキャプチャし、ランサムウェアプロセスを停止します。攻撃者が完全に排除されたことを確認した後でのみ、信頼できるバックアップから影響を受けたデータを復旧します。レジストリの変更、スケジュールされたタスク、および資格情報ダンプのアーティファクトを確認し、完全なフォレンジックの検証を行います。

アタックフロー

シミュレーション実行

前提条件:テレメトリー&ベースラインの事前チェックが合格していること。

理由:このセクションには、検出ルールをトリガーするために設計された敵のテクニック(TTP)の正確な実行が詳述されています。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目指しています。

  • 攻撃の説明とコマンド:
    敵は、侵害されたワークステーションでローカル管理者権限を取得しました。資格情報を収集するため、カスタムバッチファイルである !start.bat をmimikatz.exeと同じディレクトリにドロップします。バッチファイルは単にmimikatzを コマンドと共に起動させます。PowerShellプロンプトからバッチファイルを呼び出すことで、Event 4688によって記録されるコマンドラインはリテラル文字列. The batch file simply launches mimikatz with the コマンドと共に起動させます。PowerShellプロンプトからバッチファイルを呼び出すことで、Event 4688によって記録されるコマンドラインはリテラル文字列 and コマンドと共に起動させます。PowerShellプロンプトからバッチファイルを呼び出すことで、Event 4688によって記録されるコマンドラインはリテラル文字列 を含み、検出条件を満たします。 !start.batリグレッションテストスクリプト:

  • # ——————————————————— # セットアップ:一時ディレクトリを作成しmimikatzを配置 # ——————————————————— $tempDir = “$env:TEMPmimikatz_test” New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # mimikatz.exeがC:Toolsにあると仮定 Copy-Item -Path “C:Toolsmimikatz.exe” -Destination $tempDir -Force # ——————————————————— # カスタムバッチスクリプト !start.bat を作成 # ——————————————————— $batPath = Join-Path $tempDir “!start.bat” @’ @echo off “mimikatz.exe” “privilege::debug” “sekurlsa::logonpasswords” exit ‘@ | Set-Content -Path $batPath -Encoding ASCII # ——————————————————— # バッチスクリプトを実行(これが起動するべきステップ) # ——————————————————— $cmd = “cmd.exe /c `”$batPath`”” Start-Process -FilePath “cmd.exe” -ArgumentList “/c `”$batPath`”” -WorkingDirectory $tempDir -NoNewWindow # ——————————————————— # イベントがログに記録されることを確認するために短時間待機 # ——————————————————— Start-Sleep -Seconds 5

    クリーンアップコマンド:
  • # 一時ディレクトリとすべてのアーティファクトを削除 Remove-Item -Path $tempDir -Recurse -Force

    攻撃フロー