HardBit 4.0: ランサムウェア分析と主要な発見
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
HardBit 4.0はNeshtaファイルインフェクターをドロッパーとして利用するランサムウェアのバリアントであり、CLIとGUIの両方のビルドで提供されます。多くの現代のクルーとは異なり、二重脅迫リークポータルと結びつくことはなく、データを不可逆に損傷するためのオプションの「ワイパー」能力を含む場合があります。実行はランタイム許可IDと暗号化キーによって制限されており、暗号化の前にパスフレーズスタイルの制御を追加しています。
調査
評価によると、最初のアクセスは一般的にNLBruteツールを使用したブルートフォースRDP活動を通じて発生し、その後、Mimikatzによる資格情報収集が続きます。横方向の移動は盗まれた資格情報を使ったRDP経由で行われ、KPortScan 3.0やAdvanced Port Scannerのような発見やスキャンユーティリティによってサポートされています。Neshtaはランサムウェアを%TEMP%ディレクトリにドロップし、レジストリを変更することで持続性を持ち、任意の.exeが起動されるたびにマルウェアが呼び出されます。
緩和策
RDP対応アカウントには強力でユニークなパスワードを求め、可能な限り外部RDPの露出を削減します。Windows Defenderの改ざんに関連するレジストリの変更に注意し、 svchost.com 持続メカニズムを監視します。Mimikatzとネットワークスキャンツールの不正使用を検出またはブロックするためにアプリケーションの許可リストと行動制御を実施します。
対応
疑わしい活動が見つかった場合、ホストを隔離し、揮発性の証拠をキャプチャし、ランサムウェアプロセスを停止します。攻撃者が完全に排除されたことを確認した後でのみ、信頼できるバックアップから影響を受けたデータを復旧します。レジストリの変更、スケジュールされたタスク、および資格情報ダンプのアーティファクトを確認し、完全なフォレンジックの検証を行います。
アタックフロー
検出
疑わしいWbadminツールのアクティビティ(cmdline経由)
表示
LOLBAS WScript / CScript (process_creation経由)
表示
Windows Defenderの保護機能無効化(registry_event経由)
表示
疑わしいBcdeditの実行(cmdline経由)
表示
Powershell、CMD、WMIを介したシャドウコピーの作成または削除(cmdline経由)
表示
疑わしいVSSADMINのアクティビティ(cmdline経由)
表示
検出するためのIOC(電子メール):HardBit 4.0ランサムウェア分析
表示
HardBit 4.0によるWindows Defenderセキュリティ機能の改ざんの検出 [Windowsレジストリイベント]
表示
カスタムバッチスクリプトによるMimikatzの実行の検出 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリー&ベースラインの事前チェックが合格していること。
理由:このセクションには、検出ルールをトリガーするために設計された敵のテクニック(TTP)の正確な実行が詳述されています。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目指しています。
-
攻撃の説明とコマンド:
敵は、侵害されたワークステーションでローカル管理者権限を取得しました。資格情報を収集するため、カスタムバッチファイルである!start.batをmimikatz.exeと同じディレクトリにドロップします。バッチファイルは単にmimikatzをコマンドと共に起動させます。PowerShellプロンプトからバッチファイルを呼び出すことで、Event 4688によって記録されるコマンドラインはリテラル文字列. The batch file simply launches mimikatz with theコマンドと共に起動させます。PowerShellプロンプトからバッチファイルを呼び出すことで、Event 4688によって記録されるコマンドラインはリテラル文字列andコマンドと共に起動させます。PowerShellプロンプトからバッチファイルを呼び出すことで、Event 4688によって記録されるコマンドラインはリテラル文字列を含み、検出条件を満たします。!start.batリグレッションテストスクリプト: -
# ——————————————————— # セットアップ:一時ディレクトリを作成しmimikatzを配置 # ——————————————————— $tempDir = “$env:TEMPmimikatz_test” New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # mimikatz.exeがC:Toolsにあると仮定 Copy-Item -Path “C:Toolsmimikatz.exe” -Destination $tempDir -Force # ——————————————————— # カスタムバッチスクリプト !start.bat を作成 # ——————————————————— $batPath = Join-Path $tempDir “!start.bat” @’ @echo off “mimikatz.exe” “privilege::debug” “sekurlsa::logonpasswords” exit ‘@ | Set-Content -Path $batPath -Encoding ASCII # ——————————————————— # バッチスクリプトを実行(これが起動するべきステップ) # ——————————————————— $cmd = “cmd.exe /c `”$batPath`”” Start-Process -FilePath “cmd.exe” -ArgumentList “/c `”$batPath`”” -WorkingDirectory $tempDir -NoNewWindow # ——————————————————— # イベントがログに記録されることを確認するために短時間待機 # ——————————————————— Start-Sleep -Seconds 5
クリーンアップコマンド: -
# 一時ディレクトリとすべてのアーティファクトを削除 Remove-Item -Path $tempDir -Recurse -Force
攻撃フロー