Hancitor Analyse de malware

Propriétés du fichier

SHA256: 9f21df8b373bfffb57254b1d061c43c239fd35fc69541a3f26bfbfc0550b9bdf

MD5: 699db210e663e2a7ce73901a4f61d02a

Type de fichier: xls

Taille: 92,165 byte

Première observation: 2020-07-14

Signature AV: Pony

Signalé par: JAMESWT_WT

Étiquettes: Hancitor, Pony, xls

Analyse statique : basée sur les métadonnées (échantillon non téléchargé)

Hancitor — Profil du malware

Hancitor (Chanitor) email dropper. PuTTY SSH disguise. Cobalt Strike/Ficker dropper.

Type de malware
Loader
Langage de programmation
C
Protocole C2
HTTP
Systèmes ciblés
Windows

Détails techniques

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Capacités et comportement

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Liste IOC (1 indicateurs)

IOC — Hancitor
# FILEPATH 9f21df8b373bfffb57254b1d061c43c239fd35fc69541a3f26bfbfc0550b9bdf
TypeValeurNote
filepath 9f21df8b373bfffb57254b1d061c43c239fd35fc69541a3f26bfbfc0550b9bdf PDB

Serveurs C2 (1 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
5.61.46.161 ip 80 HTTP sinkholed UA

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
HancitorPonyxls