検出コンテンツ: Hancitor トロイの木馬

今日の記事は、Hancitorトロイの木馬の新しいバージョンと、 Threat Bounty Program 参加者によってリリースされた、セキュリティソリューションがそれらを検出するためのいくつかのルールに関するものです。

Hancitorトロイの木馬（回避技術） コミュニティルール提供者 エミール・エルドガン: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1

Ursnifを伴うHancitorの感染 独自ルール提供者 オスマン・デミル: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/

このマルウェアは2013年に登場し、昨年末には著者によって大幅に変更され、古くなったトロイの木馬を巧妙に回避する脅威に変えることに成功しました。サイバー犯罪者は主にさまざまなスパムメールキャンペーンを通じて被害者を感染させます。Hancitorトロイの木馬はWindowsシステムを攻撃するように設計されており、攻撃者は次の段階のペイロードを配信するために使用します。このマルウェアの新しいバージョンは、アメリカ合衆国のユーザーと組織を主な標的として、最も頻繁に使用されましたが、カナダ、南米および中米、ヨーロッパ、アジア太平洋地域も攻撃の対象となっています。マルウェアで最も注目すべき変更の1つは、DLLモジュールをダウンロードして実行する機能です。また、マルウェアの著者は、使用するネットワーク通信プロトコルを大幅に変更しました。

最近のキャンペーンでは、サイバー犯罪者は検出を回避するために、Living off the Land Techniquesの効果的な組み合わせを活用しました。彼らは、間接的なコマンド実行のためにWMIを使用し、ProxyとNon-Proxyの両方の環境でステージ2バイナリをダウンロードするためにCOMオブジェクトを使用しました。

これらのルールは、以下のプラットフォーム向けに翻訳されています：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、LogPoint、Humio 

EDR：Microsoft Defender ATP、Carbon Black、Elastic Endpoint

MITRE ATT&CK: 

戦術： 実行、発見 

技術：PowerShell (T1086)、Windows Management Instrumentation (T1047)、レジストリクエリ (T1012)

SOC Prime TDMを試してみませんか？ 無料でサインアップするか Threat Bounty Programに参加 して独自のコンテンツを作成し、TDMコミュニティと共有しましょう。