6.7 C
İstanbul
13/12/2024
Image default
Global Zararlı Analizi RaporlarıHaberlerZararlı Yazılım Analizleri

Hancitor Malware İncelemesi

Hancitor

Hancitor (Chanitor veya Tordal olarak da bilinmektedir.), malspam olarak ortaya çıkan bir zararlı yazılımdır. Yazılımın nitelikleri sebebiyle Pony/Evil Pony zararlılarına benzediği söylenebilmektedir. Hancitor, 2018’de Zeus Panda Banker ve 2019’da Pony, Evil Pony ve/veya Ursnif aktiviteleri ile karşımıza çıkmıştır. Aşağıda Hancitor aktivitelerine ait şema yer almaktadır:

https://isc.sans.edu/diaryimages/images/2018-10-30-ISC-diary-image-01.jpg
Resim 1: 29.10.2018 Tarihli Hancitor Aktivitesi

Aktivitelerdeki Mail Atakları

Malspam aktiviteleri, spoof edilmiş adresler üzerinden gerçekleştirilmektedir. Spoof edilerek gönderilen mail içerikleri, meşru iş trafiği gibi görünecek şekilde hazırlanmaktadır. Aşağıda yer alan görselde spoof edilen içerikler ifade edilmiştir.

https://isc.sans.edu/diaryimages/images/2018-10-30-ISC-diary-image-13.jpg
Resim 2: Email Başlık Bilgisi
Resim 3: Mail Örneği

İndirilen Zararlı ve Aktiviteleri

Word dosyası türündeki zararlı dosya içerisinde macro kullanılarak aktiviteler gerçekleştirilmektedir. Siber güvenlik araştırmacıları, bu aktiviteleri, Ursnif ve Zeus Panda Banker kampanyalarının devam olarak ifade etmektedirler.

https://isc.sans.edu/diaryimages/images/2018-10-30-ISC-diary-image-03.jpg
Resim 4: Zararlı Word Dosyası

Kullanılan macro, öncelikle sistem üzerinde antivirüs taraması gerçekleştirmektedir.

  • PSUAMain – Panda Cloud Antivirus
  • n360 – Norton 360
  • PccNT – Trend Micro PC-cillin
  • uiSeAgnt – Trend Micro Worry-Free Business Security
  • mbam – Malwarebytes
  • mbamtray – Malwarebytes
https://isc.sans.edu/diaryimages/images/2018-10-30-ISC-diary-image-06.jpg
Resim 5: Officemalscanner ile Yapılan Macro Çıkarımı
https://isc.sans.edu/diaryimages/images/2018-10-30-ISC-diary-image-07.jpg
Resim 6: Malwarebytes Kontrolü
https://isc.sans.edu/diaryimages/images/2018-10-30-ISC-diary-image-08.jpg
Resim 7: Diğer AV Çözümlerinin Taraması

Enfekiyon Süreci

Network trafiği incelendiğinde Ursnif aktivitelerine benzer bağlantılar tespit edilmiştir.

https://isc.sans.edu/diaryimages/images/2018-10-30-ISC-diary-image-09.jpg
Resim 8: Wireshark Network Analizi
https://isc.sans.edu/diaryimages/images/2018-10-30-ISC-diary-image-10.jpg
Resim 9: DNS Trafik

Zararlı yazılım üzerinde herhangi bir kalıcılık etkisi bulunmamaktadır. İlgili cihaz yeniden başlatıldığında zararlı kaybolmaktadır. Kendisini ilgili cihazda “AppData\Local\Temp” dizinine .tmp uzantısı ile eklemektedir. Bu davranışı ile Zeus Panda Banker aktivitesine benzemektedir.

IoC Listesi

Spoof Edilen Gönderici Adresleri
Mail Başlıkları
  • Subject: You received notification from DocuSign Electronic Service
  • Subject: You received notification from DocuSign Service
  • Subject: You got notification from DocuSign Electronic Signature Service
  • Subject: You got invoice from DocuSign Electronic Signature Service
  • Subject: You got notification from DocuSign Service
  • Subject: You received notification from DocuSign Electronic Signature Service
Malspam Linkleri
  • hxxps://docs.google[.]com/document/d/e/2PACX-1vSEfjWipv61XyrbNDn1neBUGeHzEPM35pYN5QRYrpUy4X-sbHybYEZ7-b6Zf8yGyA_1e4wNj452FD_O/pub
  • hxxps://docs.google[.]com/document/d/e/2PACX-1vTiMxxKYdtOy98JFAiBaNe1W-VVdRGcZOZurDYA1jhcat-mcbcA8Uw7m_v4BvJ-H3o9m7ML_TtRNPQP/pub
  • hxxps://docs.google[.]com/document/d/e/2PACX-1vShuUk4DvIVthVxqc8UIUgZ7hOQzBQ1Dop8sXP73qBfS-JrlSrdIaZslExSyrr459kvaMmWbOAUkYii/pub
  • hxxps://docs.google[.]com/document/d/e/2PACX-1vRQ8skYzE8fzy9FnmU06fNCSEBTGwdYCxE1_NyLjxTCG7uEhpFtmI_IWAtk1FFmuQyAReDSuUCdyCFs/pub
  • hxxps://docs.google[.]com/document/d/e/2PACX-1vT_UMMUFR8J8IbN7rthTdttvciBU-17slZ2anuIq4A-8zT4xtF9ngzzyiEjlE8HSDZQ5tWu_w6HBFMf/pub
  • hxxps://docs.google[.]com/document/d/e/2PACX-1vQgYON0ZqbynIRhybfOxzkN8jUzIa-DkiYp-KOTxKzhFaDt2miDJBp14XJw8lMPHtU1tkIXDcwquIr-/pub
İndirilen Word Dosyasına Ait Hash Değerleri – SHA-256
  • 080bade36015dd79925bab0975ac0f30f18424bdd1e7836d63c2dee350bdbd69 – 0112_528419802.doc
  • 2ac3b573d70c40c5c0fafe4e5914c723f2322a1c9cd76d232447654604ff8b76 – 0112_929792452.doc
  • 385425e94ed8ac21d7888550743b7a2b89afbeb51341713adb6da89cd63b5aff – 0112_203089882.doc
  • 7b013a271432cc9dea449ea9fcf727ed3caf7ce4cc6a9ba014b3dd880b5668dd – 0112_1079750132.doc
  • 8bcf45c2de07f322b8efb959e3cef38fb9983fdb8b932c527321fd3db5e444c8 – 0112_1005636132.doc
  • cab2a47456a2c51504a79ff24116a4db3800b099ec50d0ebea20c2c77739276d – 0112_722674781.doc
  • d6755718c70e20345c85d18c5411b67c99da5b2f8740d63221038c1d35ccc0b8 – 0112_153569242.doc
  • ed3fa9e193f75e97c02c48f5c7377ff7a76b827082fdbfb9d6803e1f7bd633ca – 0112_114086062.doc
Word Dosyası Tarafından İndirilen DLL Dosyaları
  • 00b2312dd63960434d09962ad3e3e7203374421b687658bd3c02f194b172bfe3
  • 0941090d3eb785dbf88fbfafffad34c4ab42877b279129616a455347883e5738
  • 43690eaf47245d69f4bda877c562852e4a9715955c2160345cb6cc84b18ca907
  • 82c9bc479ea92c1900422666792877e00256996ce2f931984115598ed2c26f23
  • 878319795a84ebfe5122d6fc21d27b4b94b3c28ad66679f841dec28ccc05e801
  • c3e06473c4c3d801c962e6c90ccbcab3d532fb5a6649077ea09cd989edf45eaf
  • cdcd5ee8b80d3a3863e0c55d4af5384522144011b071d00c9c71ae009305f130
  • edabef17fce2aaca61dbd17a57baf780cd82a2b0189b0cf3c5a7a3ca07e94a44
Word Dosyasını Oluşturmak için Kullanılan Script URL Adresleri
  • hxxp://savortrading[.]com/toweringly.php
  • hxxps://libifield.co[.]za/figs.php
  • hxxps://expertcircles[.]co[.]uk/assotiation.php
  • hxxps://libifield[.]co[.]za/oilcan.php
  • hxxp://3.133.244[.]105/irs.php
Word Dosyasını Elde Etmek için Trafik
  • port 443 – docs.google.com – HTTPS traffic
  • 104.31.80[.]93 port 80 – savortrading[.]com – GET /sacrifice.php
Hancitor Trafik
  • port 80 – api.ipify.org – GET /
  • 185.87.194[.]148 port 80 – fruciand[.]com – POST /8/forum.php
Cobalt Strike İlişkili Trafikleri
  • 47.254.175[.]0 port 80 – steroidi[.]pro – GET /2112.bin
  • 47.254.175[.]0 port 80 – steroidi[.]pro – GET /2112s.bin
  • 162.223.31[.]160 port 1080 – 162.223.31[.]160:1080 – GET /GvSL
  • 162.223.31[.]160 port 1080 – 162.223.31[.]160:1080 – GET /visit.js
  • 162.223.31[.]160 port 443 – HTTPS traffic

Kaynak

https://isc.sans.edu/forums/diary/Hancitor+activity+resumes+after+a+hoilday+break/26980/

Related posts

DeathStalker’dan PowerPepper

Mustafa Okay Maktav

GandCrab’i dağıtan kişi yakalandı!

Serdar H.

SystemBC Malware Analizi

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası