Hancitor Malware Analizi

Dosya Ozellikleri

SHA256: 993b349a0cb57f217a2e9ff8e8dd22e62a4886e7ca81d175e0badc39beb1f02b

MD5: 32e00cba442103567906212a93977ee4

Dosya Tipi: xlsx

Boyut: 283,547 byte

Ilk Gorulme: 2020-10-28

AV Imzasi: Hancitor

Raporlayan: ffforward

Etiketler: Hancitor, xlsb

Statik analiz: metadata tabanli (ornek indirilmedi)

Hancitor — Malware Profili

Hancitor (Chanitor) email dropper. PuTTY SSH disguise. Cobalt Strike/Ficker dropper.

Malware Tipi
Loader
Programlama Dili
C
C2 Protokolü
HTTP
Hedef Sistemler
Windows

Teknik Detaylar

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — Hancitor
# FILEPATH 993b349a0cb57f217a2e9ff8e8dd22e62a4886e7ca81d175e0badc39beb1f02b
TürDeğerNot
filepath 993b349a0cb57f217a2e9ff8e8dd22e62a4886e7ca81d175e0badc39beb1f02b PDB

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
5.61.46.161 ip 80 HTTP sinkholed UA

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
Hancitorxlsb