탐지 콘텐츠: Hancitor 트로잔

오늘 게시물은 Hancitor 트로이 목마의 새로운 버전과 이에 대응할 수 있는 보안 솔루션을 가능하게 하는 몇 가지 규칙에 대해 설명합니다 Threat Bounty Program 참가자들이 있습니다.

Hancitor Trojan (회피 기법) 커뮤니티 규칙 작성: Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1

Ursnif을 동반한 Hancitor 감염 독점 규칙 작성: Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/

이 악성코드는 2013년에 나타났으며 지난해 말까지 저자들이 오래된 트로이 목마를 회피성 위협으로 변형하는 데 성공했습니다. 사이버 범죄자들은 주로 다양한 스팸 이메일 캠페인을 통해 피해자를 감염시킵니다. Hancitor 트로이 목마는 Windows 시스템을 공격하도록 설계되었으며, 공격자들은 이를 사용하여 다음 단계의 페이로드를 전달합니다. 이 악성코드의 최신 버전은 주로 미국 사용자 및 조직에 대한 공격에 사용되었으며, 다른 목표로는 캐나다, 남미 및 중앙 아메리카, 유럽, 아시아 태평양 지역이 있습니다. 악성코드에서 가장 주목할만한 변화 중 하나는 DLL 모듈을 다운로드하고 실행할 수 있는 능력입니다. 또한, 악성코드 작성자들은 사용된 네트워크 통신 프로토콜을 대폭 수정하였습니다.

최근 캠페인에서는, 사이버 범죄자들이 탐지를 피하기 위해 효과적인 Living off the Land 기법의 조합을 활용했습니다. 그들은 간접 명령 실행을 위해 WMI를 사용했고, Proxy 및 비 Proxy 환경에서 단계 2 바이너리를 다운로드하기 위해 COM 개체를 사용했습니다.

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 탐색 

기법: PowerShell (T1086), Windows Management Instrumentation (T1047), 레지스트리 쿼리 (T1012)

SOC Prime TDM을 시도해볼 준비가 되셨나요? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하여 자신의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.