HardBit 4.0: Análise de Ransomware e Principais Descobertas
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
HardBit 4.0 é uma variante de ransomware que utiliza o infector de arquivos Neshta como seu carregador e é entregue tanto em versões de CLI quanto de GUI. Ao contrário de muitas equipes modernas, não está vinculado a um portal de vazamento de dupla extorsão e pode incluir uma capacidade opcional de “Wiper” projetada para danificar dados irreversivelmente. A execução é condicionada por um ID de autorização em tempo de execução e uma chave de criptografia, efetivamente adicionando um controle de estilo de senha antes de a criptografia começar.
Investigação
A avaliação sugere que o acesso inicial ocorre comumente através de atividades de força bruta de RDP usando a ferramenta NLBrute, seguido por coleta de credenciais via Mimikatz. O movimento lateral é então realizado sobre RDP com as credenciais roubadas, apoiado por utilitários de descoberta e varredura, como KPortScan 3.0 e Advanced Port Scanner. Neshta é usado para soltar o ransomware no diretório %TEMP% e persistir alterando o registro para que o malware seja invocado sempre que qualquer .exe for lançado.
Mitigação
Exija senhas fortes e exclusivas para contas habilitadas para RDP e reduza a exposição externa ao RDP sempre que possível. Fique atento a mudanças de registro associadas à adulteração do Windows Defender e ao svchost.com mecanismo de persistência. Implemente listas de permissão de aplicativos e controles comportamentais para detectar ou bloquear o uso não autorizado de Mimikatz e ferramentas de varredura de rede.
Resposta
Se atividade suspeita for encontrada, isole o host, capture evidências voláteis e pare o processo de ransomware. Recupere os dados afetados somente de backups confiáveis após confirmar que o ator da ameaça foi totalmente removido. Complete a validação forense revisando modificações de registro, tarefas agendadas e quaisquer artefatos de despejo de credenciais.
Fluxo de Ataque
Detecções
Atividade Suspeita da Ferramenta Wbadmin (via cmdline)
Ver
LOLBAS WScript / CScript (via criação_de_processo)
Ver
Desabilitando Proteções do Windows Defender (via evento_de_registro)
Ver
Execução Suspeita de Bcdedit (via cmdline)
Ver
Criar ou Excluir Cópia de Sombra via Powershell, CMD ou WMI (via cmdline)
Ver
Atividade Suspeita do VSSADMIN (via cmdline)
Ver
IOCs (Emails) para detectar: Análise do Ransomware HardBit 4.0
Ver
Detecção de Adulteração de Recursos de Segurança do Windows Defender pelo HardBit 4.0 [Evento do Registro do Windows]
Ver
Detecção da Execução do Mimikatz via Script Personalizado de Lote [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria & Base deve ter passado.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) que visa acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos do Ataque:
O adversário obteve privilégios administrativos locais em uma estação de trabalho comprometida. Para coletar credenciais, eles soltam um arquivo batch personalizado chamado!start.batno mesmo diretório quemimikatz.exe. O arquivo batch simplesmente lança o mimikatz com os comandosprivilege::debugandsekurlsa::logonpasswords. Ao invocar o arquivo batch a partir de um prompt do PowerShell, a linha de comando registrada pelo Evento 4688 conterá a string literal!start.bat, satisfazendo a condição de detecção. -
Script de Teste de Regressão:
# --------------------------------------------------------- # Configuração: cria um diretório temporário e coloca o mimikatz # --------------------------------------------------------- $tempDir = "$env:TEMPmimikatz_test" New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # Presume-se que mimikatz.exe esteja disponível em C:Toolsmimikatz.exe Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force # --------------------------------------------------------- # Cria o script batch personalizado !start.bat # --------------------------------------------------------- $batPath = Join-Path $tempDir "!start.bat" @' @echo off "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit '@ | Set-Content -Path $batPath -Encoding ASCII # --------------------------------------------------------- # Execute o script batch (esta é a etapa que deve ocorrer) # --------------------------------------------------------- $cmd = "cmd.exe /c `"$batPath`"" Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow # --------------------------------------------------------- # Aguarde um curto período para garantir que o evento seja registrado # --------------------------------------------------------- Start-Sleep -Seconds 5 -
Comandos de Limpeza:
# Remove o diretório temporário e todos os artefatos Remove-Item -Path $tempDir -Recurse -Force