SOC Prime Bias: Високий

29 Dec 2025 08:37 UTC

HardBit 4.0: Аналіз програм-вимагачів і ключові висновки

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
HardBit 4.0: Аналіз програм-вимагачів і ключові висновки
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Короткий огляд

HardBit 4.0 є варіантом програм-вимагачів, який використовує інфектор файлів Neshta як драйвер і постачається в обох CLI та GUI збірках. На відміну від багатьох сучасних команд, він не пов’язаний з порталом двоїстого витоку і може включати опціональну функцію “Wiper”, призначену для незворотного пошкодження даних. Виконання обмежено ідентифікатором авторизації в реальному часі та ключем шифрування, ефективно додаючи контроль типу парольної фрази перед початком шифрування.

Розслідування

Оцінка передбачає, що первинний доступ зазвичай відбувається через активність брутфорсу RDP з використанням інструменту NLBrute, після чого відбувається видобування облікових даних за допомогою Mimikatz. Потім проходження через мережу здійснюється через RDP з використанням викрадених облікових даних, підтримане засобами виявлення та сканування, такими як KPortScan 3.0 та Advanced Port Scanner. Neshta використовується для завантаження програми-вимагача у каталог %TEMP% та для збереження шляхом зміни реєстру так, щоб шкідливе програмне забезпечення викликалось щоразу при запуску будь-якого файлу .exe.

Пом’якшення

Вимагайте потужні, унікальні паролі для облікових записів з підтримкою RDP та зменшуйте зовнішній доступ до RDP, де це можливо. Слідкуйте за змінами в реєстрі, пов’язаними з маніпуляціями Windows Defender та svchost.com механізмом збереження. Впроваджуйте список дозволених застосувань і поведінковий контроль для виявлення або блокування несанкціонованого використання Mimikatz та інструментів сканування мережі.

Відповідь

Якщо виявлена підозріла активність, ізолюйте хост, зберіть волатильні докази та зупиніть процес програм-вимагачів. Відновіть дані, які постраждали, лише з надійних резервних копій після підтвердження, що загроза була повністю усунута. Закінчіть судово-медичну верифікацію, переглянувши зміни в реєстрі, заплановані завдання та будь-які артефакти дампу облікових даних.

Потік атаки

Виявлення

Підозріла активність інструменту Wbadmin (через cmdline)

Команда SOC Prime
23 грудня 2025

LOLBAS WScript / CScript (через process_creation)

Команда SOC Prime
23 грудня 2025

Вимкнення захисту Windows Defender (через registry_event)

Команда SOC Prime
23 грудня 2025

Підозріле виконання Bcdedit (через cmdline)

Нейт Гуадженти, Команда SOC Prime
23 грудня 2025

Створення або видалення тіньової копії за допомогою Powershell, CMD або WMI (через cmdline)

Команда SOC Prime
23 грудня 2025

Підозріла активність VSSADMIN (через cmdline)

Команда SOC Prime
23 грудня 2025

IOCs (електронні адреси) для виявлення: аналіз програм-вимагачів HardBit 4.0

Правила SOC Prime AI
23 грудня 2025

Виявлення маніпуляцій з функціями безпеки Windows Defender програмою HardBit 4.0 [Захід у Windows Registry]

Правила SOC Prime AI
23 грудня 2025

Виявлення виконання Mimikatz через користувацький пакетний скрипт [Створення процесу Windows]

Правила SOC Prime AI
23 грудня 2025

Виконання симуляції

Передумови: Перевірка телеметрії та базових показників повинна бути пройдена.

Остання частина цього розділу описує точне виконання техніки супротивника (TTP), призначеного для активації правила виявлення. Команди та розповідь повинні безпосередньо відображати виявлені TTP та прагнути згенерувати точну телеметрію, очікувану логікою виявлення.

  • Оповідання про атаку та команди:
    Супротивник отримав локальні адміністративні привілеї на скомпрометованій робочій станції. Щоб отримати облікові дані, вони завантажують користувацький пакетний файл під назвою !start.bat в ту ж директорію, що й mimikatz.exe. Пакетний файл просто запускає mimikatz з командами privilege::debug and sekurlsa::logonpasswords . Запустивши пакетний файл з PowerShell-підказки, командний рядок, записаний в події 4688, міститиме буквально рядок !start.bat, відповідаючи умовам виявлення.

  • Скрипт тесту на регресію:

    # ---------------------------------------------------------
    # Налаштування: створити тимчасовий каталог і розмістити mimikatz
    # ---------------------------------------------------------
    $tempDir = "$env:TEMPmimikatz_test"
    New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
    
    # Припустимо, що mimikatz.exe доступний за адресою C:Toolsmimikatz.exe
    Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force
    
    # ---------------------------------------------------------
    # Створити користувацький пакетний скрипт !start.bat
    # ---------------------------------------------------------
    $batPath = Join-Path $tempDir "!start.bat"
    @'
    @echo off
    "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit
    '@ | Set-Content -Path $batPath -Encoding ASCII
    
    # ---------------------------------------------------------
    # Виконати пакетний скрипт (це крок, що повинен активуватися)
    # ---------------------------------------------------------
    $cmd = "cmd.exe /c `"$batPath`""
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow
    
    # ---------------------------------------------------------
    # Зачекати короткий період для забезпечення запису події
    # ---------------------------------------------------------
    Start-Sleep -Seconds 5
  • Команди очищення:

    # Видалити тимчасовий каталог і всі артефакти
    Remove-Item -Path $tempDir -Recurse -Force