Conteúdo de Detecção: Trojan Hancitor

O post de hoje é sobre novas versões do trojan Hancitor e algumas regras lançadas pelo Programa Threat Bounty participantes, o que permite que as soluções de segurança os detectem.

Hancitor Trojan (Técnica de Evasão) regra da comunidade por Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1

Infecção por Hancitor com Ursnif regra exclusiva por Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/

Este malware apareceu em 2013 e no final do ano passado foi significativamente modificado pelos autores, que conseguiram transformar o Trojan desatualizado em uma ameaça evasiva. Cibercriminosos infectam suas vítimas principalmente por meio de várias campanhas de spam por e-mail. O trojan Hancitor é projetado para atacar sistemas Windows, e os atacantes o usam para entregar a próxima carga útil. A nova versão deste malware foi usada principalmente em ataques contra usuários e organizações dos Estados Unidos, e seus outros alvos estão localizados no Canadá, Américas do Sul e Central, Europa e região APAC. Uma das mudanças mais notáveis no malware é a capacidade de baixar e executar um módulo DLL. Além disso, os autores do malware modificaram significativamente o protocolo de comunicação de rede utilizado.

Em campanhas recentes, os cibercriminosos utilizaram uma combinação eficaz de Técnicas Living off the Land para evadir a detecção. Eles usaram WMI para execução de comandos indiretos e objetos COM para baixar binários de segunda fase em ambientes Proxy e Non-Proxy.

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Descoberta 

Técnicas: PowerShell (T1086), Instrumentação de Gerenciamento do Windows (T1047), Registro de Consultas (T1012)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.