Hancitor DLL 악성코드 분석

오늘은 Hancitor DLL를 분석할 것입니다. Hancitor도 다른 malware처럼 악성 office 파일로 유포되며 다른 악성코드를 위한 Loader 역할을 합니다. Hancitor가 실행되면 일단 컴퓨터와 Domain에 대한 정보를 얻어 그 정보를 C2 서버에게 보냅니다. 받은 정보에 따라 Injection 방법이 다르며 Hancitor가 유포시키는 malware도 다릅니다. Hancitor가 drop 하는 Malware는 Cobalt Strike Beacon, Ransomware, FickerStealer 등입니다.

​

1) Enumeration

Hancitor는 감염된 컴퓨터에 대한 정보를 탈취한 다음에 그 컴퓨터에 대한 유일한 아이디를 만들어 모든 정보를 통신서버에게 보냅니다. 어떤 정보를 탈취하는지를 분석하겠습니다.

컴퓨터에 대한 정보 탈취는 AdaptersAddresses부터 시작되며 피해자 32bit 인지 64bit 인지도 확인합니다

감염된 피해자의 아이피 주소를 알아보기 위해 hxxp://api.ipify.org에 연결합니다. 이 홈페이지는 악성 홈페이지가 아니지만 네트워크 안에 있는 서비스가 이 홈페이지에 연결하는 것이 보이면 의심해야 합니다.

explorer.exe에 대한 Token을 확인하는 것도 보이는데 그 정보를 활용하지 않는 것 같습니다.

다음으로는 악성코드가 Domain에 대한 정보를 탈취하는 것을 확인할 수 있습니다. 무슨 정보를 얻느냐에 따라 나중에 Cobalt Strike Beacon이 유포될지 아닐지 결정될 것입니다.

모든 정보를 탈취한 다음에 통신 서버에게 모든 정보를 보냅니다.

GUID = 피해자의 유일한 아이디

BUILD = 악성코드의 버전/아이디

INFO = 컴퓨터에 대한 정보 (이름, Domain 등)

EXT IP = 아이피 주소

TYPE = Domain Trust(?)

WIN = 시스템 32bit 인지 64bin 인지

2) 통신서버 Encryption/Decryption

Hancitor는 RC4 Decryption를 사용하며 RC4를 위한 SHA1 Hash도 사용합니다.

8byte가 SHA1로 hash 되고 그 hash의 5짜리 bytes가 RC4의 passphrase가 됩니다.

Hancitor의 Encryption/Decryption 복잡하지 않아서 Cyberchef로 쉽게 Decrypt 할 수 있습니다

통신서버들은 다음과 같습니다:

hxxp://asinvotheir[.]com/8/forum[.]php

hxxp://ditrismale[.]ru/8/forum[.]php

hxxp://clatrommon[.]ru/8/forum[.]php

​

3) Injection

Hancitor는 통신서버에게 받는 parameter에 따라 Injection 방법이 다르지만

b = 통신서버에 연결해 다른 악성코드를 다운로드하고 svchost.exe에 삽입하여 실행

e = b처럼 악성코드를 다운로드하고 진행 중인 process에 삽입

l = shellcode를 다운로드하고 삽입

r = dll 다운로드하고 CreateFile를 실행

모든 injection 방법들이 VirtualAllocEx로 악성코드를 삽입하기 위한 Buffer를 만들어 WriteProcessMemory API로 Buffer에 코드를 넣습니다

shellcode 삽입 방법도 비슷합니다.

R parameter만 조금 다릅니다. 다른 parameter들은 Process Hollowing으로 AV를 우회하고자 하는데 R 삽입 방법은 disk에. dll 혹은. exe를 drop 합니다.

​

요약

Hancitor는 그렇게 복잡한 Loader가 아니며 아주 간단한 encryption을 사용하지만 한번 감염되고 다음 단계로 넘어가는 속도가 빠르다는 걸로 알려져 있습니다. 정보를 탈취하기 위한 FlickerStealer를 유포시키거나 나중에 Ransomware를 유포시키기 위한 Cobalt Strike Beacon 다운로드하는 경우가 대부분입니다.