简介
HardBit是一种勒索软件威胁,于2022年10月被首次观察到,其目标是组织勒索加密货币付款以解密其数据。在原版稍做改动的基础上,HardBit版本2.0于2022年底推出。
与其它勒索软件家族不同,HardBit目前似乎没有提供数据泄漏站点,也没有使用双重勒索策略,即受害者被“点名羞辱”,并威胁要公开暴露他们的被盗数据。
虽然被盗数据被出售或发布的威胁仍然存在,但该组织威胁说,如果他们的赎金要求得不到满足,他们将对受害者进行进一步的攻击。
HardBit使用勒索软件威胁中包含的预定义赎金记录,鼓励受害者通过电子邮件或Tox即时消息平台与他们联系。
该组织没有在此赎金票据中指定要求的比特币数量,而是寻求与受害者谈判以达成和解。值得注意的是,作为这些谈判的一部分,还鼓励拥有网络保险单的受害者与HardBit分享细节,以便他们的要求可以调整为符合保单的范围(图1)。
图1.HardBit赎金票据
虽然目前尚不清楚 HardBit 如何获得对受害者网络的初始访问权限,但他们很可能正在使用其他勒索软件威胁参与者的类似策略、战术和技术(TTP)。
勒索软件组织通常使用的这些久经考验的TTP包括向毫无戒心的员工传递恶意负载、使用受损凭据(例如在第三方数据泄露中暴露的凭据)以及在更高级的事件中利用暴露主机中的漏洞。
入侵过程概述
入侵受害主机后,将执行HardBit 勒索软件有效负载,并在加密受害者数据之前执行许多步骤来降低主机的安全状况。
收集信息
为了逃避受害者沙盒环境中的分析,HardBit通过基于Web的企业管理和Windows管理规范(WMI)功能收集有关受害者主机的信息。
具体来说,勒索软件收集:
· 已安装硬件的详细信息,包括CPU、磁盘驱动器和图形卡
· 网络适配器设置,包括IP配置和MAC地址
· 系统制造商和来自BIOS的版本
· 受害者用户名和计算机名称
· 时区信息
此外,调用 Win32 API函数 BCryptGetFipsAlgorithmMode来确定是否启用了FIPS140的合规性。
如果启用,Windows 将仅强制使用批准的加密方案,这样做,勒索软件自己的加密方法可能会失败。
图标配置
勒索软件有效负载将自定义 HardBit 文件图标(图2)放入受害者的文档文件夹中,该文件夹用于将其品牌添加到所有加密文件:
C:\Users\\Documents\hrdb.ico
MD5: 31c0f6553c9407cc19e596eab41a553e
SHA1: fc20063993ed2baaa24d41ad11c0f258bab5bd7f
SHA256: b565a7b25dc4227872fe972ceee9ff8fce91eb10b373ebc9401f4f32348244ef
图2.HardBit图标
随后,在 Windows 注册表中注册一个类,以将文件扩展名.hardbit 与此删除的图标相关联:
降低安全状况
作为大多数现代勒索软件威胁的标准做法,HardBit执行许多预加密步骤来降低受害主机的安全状况。
01卷复制服务/备份
为了阻止恢复工作,HardBit使用服务控制管理器删除卷复制服务 (VSS):
cmd.exe /C sc delete VSS
随后,将删除 Windows 备份实用程序目录以及其他卷副本:
cmd.exe /C wbadmin delete catalog -quiet
cmd.exe /C vssadmin delete shadows /all /quiet & wmic shadowcopy delete
值得注意的是,自Windows 10 21H1,Windows Server 21H1和Windows 11发布以来,WMIC工具已经失宠,并被PowerShell取代,以在一定程度上限制其在此类情况下的滥用。
02引导配置
鉴于将许多文件设置为加密后,在重新启动 Windows 时可能会导致错误,所以HardBit将编辑启动配置以启用“忽略任何故障”选项,同时禁用恢复选项:
cmd.exe/C bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
03Windows Defender
HardBit通过更改一系列Windows注册表,禁用许多Windows Defender的防病毒功能,以防止勒索软件进程的检测和中断:
最后,执行PowerShell cmdlet Get-MpP选项以输出任何已配置的Windows Defender选项:
"powershell" Get-MpPreference -verbose
04服务终止
终止服务是一种常见的勒索软件技术,旨在减少检测和恢复的机会,并确保文件不会被应用程序进程锁定。
HardBit对大约86个服务的列表执行了 Windows net stop 命令,这些服务涵盖了许多常见的应用程序、数据备份/恢复工具和端点安全解决方案:
net.exe stop /y
持久化
为了确保在系统重新启动时自动执行HardBit 勒索软件有效负载,软件会将版本复制到受害者的“启动”文件夹(如果尚不存在):
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe
为了逃避偶然检测,可执行文件名模仿合法的服务主机可执行文件 svchost.exe。
加密阶段
确定受害者计算机上的可用驱动器和卷后,HardBit 勒索软件有效负载将操纵所有目录和文件以查找要加密的数据。
加密后,该文件将使用看似随机的文件名重命名,后跟一个标识符:联系人电子邮件地址和 hardbit2 文件扩展名。例如:
t24rabqh28.[id-0E6CDAEB00103218].[threatactor@example.tld].hardbit2
随后,纯文本赎金记录(附录 A)和 HTML 应用程序(HTA)赎金记录(图 3)将被写入驱动器根目录和包含加密文件的所有文件夹:
· 如何恢复文件.txt
· Help_me_for_Decrypt.hta
图3.HardBit HTA 赎金票据
加密过程完成后,图像文件(图4)将保存在受害者的桌面上:
C:\Users\\Desktop\HARDBIT.jpg
图4.HardBit图像文件注释
为了确保受害者了解当前情况,系统通过Windows注册表更新将hardbit.jpg图像文件设置为壁纸:
最后,执行 HTA 赎金票据以使用 Microsoft HTA 应用程序显示交互式内容,包括可点击的超链接:
C:\Windows\SysWOW64\mshta.exe "C:\Users\\AppData\Local\Temp\readme-warning.hta"
专家建议
针对HardBit等勒索软件的攻击,防御者需要早检测、早发现、早隔离,及时发现潜在威胁,将其消灭在萌芽状态。