SOC Prime Bias: 높음

29 Dec 2025 08:37 UTC

HardBit 4.0: 랜섬웨어 분석 및 주요 발견사항

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
HardBit 4.0: 랜섬웨어 분석 및 주요 발견사항
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

HardBit 4.0은 Neshta 파일 감염기를 드로퍼로 사용하는 랜섬웨어 변종으로, CLI 및 GUI 빌드 모두에서 제공됩니다. 많은 현대 랜섬웨어와 달리, 이 랜섬웨어는 이중 갈취 유출 포털에 연결되어 있지 않으며 데이터를 돌이킬 수 없이 손상시키기 위한 선택적 ‘와이퍼’ 기능을 포함할 수 있습니다. 실행은 런타임 승인 ID와 암호화 키에 의해 제한되며, 이는 암호화 시작 전에 암호구문 스타일의 제어를 추가합니다.

조사

평가에 따르면 초기 액세스는 대개 NLBrute 도구를 사용한 무차별 RDP 활동을 통해 발생하며, 이어서 Mimikatz을 통한 자격 증명 수집이 이루어집니다. 이후 Lateral Movement는 도난당한 자격 증명을 사용하여 RDP를 통해 수행되며, KPortScan 3.0 및 Advanced Port Scanner와 같은 탐색 및 스캔 유틸리티로 지원됩니다. Neshta는 랜섬웨어를 %TEMP% 디렉토리에 드롭하고, 레지스트리를 변경하여 .exe 파일이 실행될 때마다 악성 코드가 불려지도록 하여 지속성을 유지합니다.

대응책

RDP가 활성화된 계정에 대해 강력하고 고유한 비밀번호를 요구하고, 가능하면 외부 RDP 노출을 줄이십시오. Windows Defender의 조작과 관련된 레지스트리 변경 사항을 주의 깊게 감시하고 svchost.com 지속성 메커니즘. Mimikatz 및 네트워크 스캔 도구의 무단 사용을 탐지하거나 차단할 수 있는 애플리케이션 허용 목록 및 행동 제어를 구현하십시오.

대응

의심되는 활동이 발견되면 호스트를 격리하고, 휘발성 증거를 확보하고, 랜섬웨어 프로세스를 중지하십시오. 위협 행위자가 완전히 제거되었음을 확인한 후에만 신뢰할 수 있는 백업으로부터 영향을 받은 데이터를 복원하십시오. 레지스트리 수정, 예약 작업 및 자격 증명 덤프 아티팩트를 검토하여 포렌식 확인을 완료하십시오.

공격 흐름

시뮬레이션 실행

필수: 텔레메트리 및 베이스라인 사전 비행 검사가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 상대 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 서술은 식별된 TTP를 직접 반영해야 하며, 탐지 논리가 기대하는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.

  • 공격 서사 및 명령:
    공격자는 손상된 워크스테이션에서 로컬 관리자 권한을 획득했습니다. 자격 증명을 수집하기 위해, 그들은 ‘start.bat’이라는 사용자 정의 배치 파일을 !start.bat 와 같은 디렉토리에 mimikatz.exe을 놓습니다. 배치 파일은 단순히 privilege::debug and sekurlsa::logonpasswords 명령어와 함께 mimikatz를 실행합니다. PowerShell 프롬프트에서 배치 파일을 호출하면 Event 4688에 기록된 커맨드 라인은 탐지 조건을 만족하는 문자 그대로의 문자열인 !start.bat을 포함하게 됩니다.

  • 회귀 테스트 스크립트:

    # ---------------------------------------------------------
    # 설정: 임시 디렉토리를 만들고 mimikatz를 배치
    # ---------------------------------------------------------
    $tempDir = "$env:TEMPmimikatz_test"
    New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
    
    # C:Toolsmimikatz.exe에 mimikatz.exe가 있다고 가정
    Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force
    
    # ---------------------------------------------------------
    # 사용자 정의 배치 스크립트 !start.bat 생성
    # ---------------------------------------------------------
    $batPath = Join-Path $tempDir "!start.bat"
    @'
    @echo off
    "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit
    '@ | Set-Content -Path $batPath -Encoding ASCII
    
    # ---------------------------------------------------------
    # 배치 스크립트 실행 (이 단계에서 트리거가 발생해야 함)
    # ---------------------------------------------------------
    $cmd = "cmd.exe /c `"$batPath`""
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow
    
    # ---------------------------------------------------------
    # 이벤트가 기록되도록 잠시 기다립니다.
    # ---------------------------------------------------------
    Start-Sleep -Seconds 5
  • 정리 명령:

    # 임시 디렉토리와 모든 아티팩트를 제거합니다.
    Remove-Item -Path $tempDir -Recurse -Force