Erkennung von Inhalten: Hancitor Trojaner

Der heutige Beitrag handelt von neuen Versionen des Hancitor-Trojaners und ein paar Regeln, die von Threat Bounty Program Teilnehmern veröffentlicht wurden, die es Sicherheitslösungen ermöglichen, sie zu erkennen.

Hancitor Trojaner (Umgehungstechnik) Gemeinschaftsregel von Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1

Hancitor-Infektion mit Ursnif exklusive Regel von Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/

Diese Malware trat 2013 auf und wurde Ende letzten Jahres von den Autoren erheblich modifiziert, die es schafften, den veralteten Trojaner in eine ausweichende Bedrohung zu verwandeln. Cyberkriminelle infizieren ihre Opfer hauptsächlich über verschiedene Spam-E-Mail-Kampagnen. Der Hancitor-Trojaner ist darauf ausgelegt, Windows-Systeme anzugreifen, und Angreifer verwenden ihn, um die nächste Payload-Phase zu liefern. Die neue Version dieser Malware wurde vor allem bei Angriffen gegen Benutzer und Organisationen aus den Vereinigten Staaten eingesetzt, und ihre anderen Ziele befinden sich in Kanada, Süd- und Zentralamerika, Europa und der APAC-Region. Eine der bemerkenswertesten Änderungen der Malware ist die Fähigkeit, ein DLL-Modul herunterzuladen und auszuführen. Außerdem haben die Malware-Autoren das Netzwerkkommunikationsprotokoll wesentlich verändert.

In jüngsten Kampagnen nutzten Cyberkriminelle eine effektive Kombination von Living off the Land-Techniken, um der Erkennung zu entgehen. Sie nutzten WMI für indirekte Befehlausführung und COM-Objekte, um Stage-Two-Binaries in Proxy- und Non-Proxy-Umgebungen herunterzuladen.

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung, Entdeckung 

Techniken: PowerShell (T1086), Windows Management Instrumentation (T1047), Abfrage-Registrierung (T1012)

Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder dem Threat Bounty Program beitreten um eigene Inhalte zu gestalten und mit der TDM-Community zu teilen.