HardBit 4.0: Аналіз програм-вимагачів і ключові висновки
Detection stack
- AIDR
- Alert
- ETL
- Query
Короткий огляд
HardBit 4.0 є варіантом програм-вимагачів, який використовує інфектор файлів Neshta як драйвер і постачається в обох CLI та GUI збірках. На відміну від багатьох сучасних команд, він не пов’язаний з порталом двоїстого витоку і може включати опціональну функцію “Wiper”, призначену для незворотного пошкодження даних. Виконання обмежено ідентифікатором авторизації в реальному часі та ключем шифрування, ефективно додаючи контроль типу парольної фрази перед початком шифрування.
Розслідування
Оцінка передбачає, що первинний доступ зазвичай відбувається через активність брутфорсу RDP з використанням інструменту NLBrute, після чого відбувається видобування облікових даних за допомогою Mimikatz. Потім проходження через мережу здійснюється через RDP з використанням викрадених облікових даних, підтримане засобами виявлення та сканування, такими як KPortScan 3.0 та Advanced Port Scanner. Neshta використовується для завантаження програми-вимагача у каталог %TEMP% та для збереження шляхом зміни реєстру так, щоб шкідливе програмне забезпечення викликалось щоразу при запуску будь-якого файлу .exe.
Пом’якшення
Вимагайте потужні, унікальні паролі для облікових записів з підтримкою RDP та зменшуйте зовнішній доступ до RDP, де це можливо. Слідкуйте за змінами в реєстрі, пов’язаними з маніпуляціями Windows Defender та svchost.com механізмом збереження. Впроваджуйте список дозволених застосувань і поведінковий контроль для виявлення або блокування несанкціонованого використання Mimikatz та інструментів сканування мережі.
Відповідь
Якщо виявлена підозріла активність, ізолюйте хост, зберіть волатильні докази та зупиніть процес програм-вимагачів. Відновіть дані, які постраждали, лише з надійних резервних копій після підтвердження, що загроза була повністю усунута. Закінчіть судово-медичну верифікацію, переглянувши зміни в реєстрі, заплановані завдання та будь-які артефакти дампу облікових даних.
Потік атаки
Виявлення
Підозріла активність інструменту Wbadmin (через cmdline)
Перегляд
LOLBAS WScript / CScript (через process_creation)
Перегляд
Вимкнення захисту Windows Defender (через registry_event)
Перегляд
Підозріле виконання Bcdedit (через cmdline)
Перегляд
Створення або видалення тіньової копії за допомогою Powershell, CMD або WMI (через cmdline)
Перегляд
Підозріла активність VSSADMIN (через cmdline)
Перегляд
IOCs (електронні адреси) для виявлення: аналіз програм-вимагачів HardBit 4.0
Перегляд
Виявлення маніпуляцій з функціями безпеки Windows Defender програмою HardBit 4.0 [Захід у Windows Registry]
Перегляд
Виявлення виконання Mimikatz через користувацький пакетний скрипт [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумови: Перевірка телеметрії та базових показників повинна бути пройдена.
Остання частина цього розділу описує точне виконання техніки супротивника (TTP), призначеного для активації правила виявлення. Команди та розповідь повинні безпосередньо відображати виявлені TTP та прагнути згенерувати точну телеметрію, очікувану логікою виявлення.
-
Оповідання про атаку та команди:
Супротивник отримав локальні адміністративні привілеї на скомпрометованій робочій станції. Щоб отримати облікові дані, вони завантажують користувацький пакетний файл під назвою!start.batв ту ж директорію, що йmimikatz.exe. Пакетний файл просто запускає mimikatz з командамиprivilege::debugandsekurlsa::logonpasswords. Запустивши пакетний файл з PowerShell-підказки, командний рядок, записаний в події 4688, міститиме буквально рядок!start.bat, відповідаючи умовам виявлення. -
Скрипт тесту на регресію:
# --------------------------------------------------------- # Налаштування: створити тимчасовий каталог і розмістити mimikatz # --------------------------------------------------------- $tempDir = "$env:TEMPmimikatz_test" New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # Припустимо, що mimikatz.exe доступний за адресою C:Toolsmimikatz.exe Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force # --------------------------------------------------------- # Створити користувацький пакетний скрипт !start.bat # --------------------------------------------------------- $batPath = Join-Path $tempDir "!start.bat" @' @echo off "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit '@ | Set-Content -Path $batPath -Encoding ASCII # --------------------------------------------------------- # Виконати пакетний скрипт (це крок, що повинен активуватися) # --------------------------------------------------------- $cmd = "cmd.exe /c `"$batPath`"" Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow # --------------------------------------------------------- # Зачекати короткий період для забезпечення запису події # --------------------------------------------------------- Start-Sleep -Seconds 5 -
Команди очищення:
# Видалити тимчасовий каталог і всі артефакти Remove-Item -Path $tempDir -Recurse -Force