Contenu de Détection : Cheval de Troie Hancitor

Le message d’aujourd’hui porte sur les nouvelles versions du cheval de Troie Hancitor et quelques règles publiées par Threat Bounty Program participants qui permettent aux solutions de sécurité de les détecter.

Cheval de Troie Hancitor (Technique d’évasion) règle communautaire par Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1

Infection Hancitor avec Ursnif règle exclusive par Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/

Ce malware est apparu en 2013 et à la fin de l’année dernière, il a été considérablement modifié par les auteurs, qui ont réussi à transformer le cheval de Troie obsolète en une menace d’évasion. Les cybercriminels infectent leurs victimes principalement via diverses campagnes de spam. Le cheval de Troie Hancitor est conçu pour attaquer les systèmes Windows, et les attaquants l’utilisent pour délivrer la charge utile de la prochaine étape. La nouvelle version de ce malware a été principalement utilisée dans les attaques contre des utilisateurs et des organisations des États-Unis, et leurs autres cibles sont situées au Canada, en Amérique du Sud et Centrale, en Europe et dans la région APAC. L’un des plus grands changements notables dans le malware est la capacité de télécharger et d’exécuter un module DLL. De plus, les auteurs du malware ont considérablement modifié le protocole de communication réseau utilisé.

Dans les campagnes récentes, les cybercriminels ont exploité une combinaison efficace de techniques Living off the Land afin d’éviter la détection. Ils ont utilisé WMI pour l’exécution indirecte de commandes et des objets COM pour télécharger les binaires de la deuxième étape dans les environnements Proxy et Non-Proxy.

Les règles ont des traductions pour les plates-formes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Découverte 

Techniques : PowerShell (T1086), Windows Management Instrumentation (T1047), Interroger le Registre (T1012)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM.