기업 AD 환경에서 CobaltStrike 해킹툴 설치하는 Hancitor 워드문서

Hancitor 악성코드는 스팸 메일을 통해 유포되는 다운로더 악성코드로서, 2016년 경부터 꾸준히 유포되고 있다. 최근에는 추가 페이로드로 코발트 스트라이크를 설치하는 형태가 유포되고 있어 사용자의 주의가 필요하다.

Hancitor는 스팸 메일의 첨부 파일이나 다운로드 링크를 이용해 유포되며 보통 MS 오피스 문서 파일을 그 대상으로 한다. 최근 확인되는 유형은 악성 VBA 매크로가 포함된 워드 문서 파일이다. 워드 문서를 실행하면 다음과 같은 이미지를 보여주면서 사회공학 기법을 이용해 사용자가 매크로 활성화 즉 상단의 “콘텐츠 사용” 버튼을 클릭하도록 유도한다.

매크로 활성화 버튼 클릭을 유도하는 사진

다음은 2016년과 2018년에 공개된 ASEC 블로그이며, 동일하게 스팸 메일을 통해 악성 매크로 문서 파일을 유포하는 사례들을 정리하였다.

매크로 활성화 버튼을 클릭하면 내부의 “Ole10Native” 객체에 존재하는 악성 DLL 파일이 %temp%furmt.f 경로에 생성된다. 다음과 같이 “Ole10Native” 객체를 보면 드랍할 경로와 함께 악성 DLL 파일의 MZ 시그니처를 확인할 수 있다.

OLE 객체에 존재하는 경로 및 Hancitor DLL 바이너리

이후 VBA 매크로는 “%temp%furmt.f” 경로에 존재하는 악성 DLL을 “\AppData\Roaming\Microsoft\Word\jers.dll”로 이동시키며, rundll32.exe를 이용해 DLL을 실행한다.

Hancitor DLL을 실행시키는 VBA 매크로 루틴

이렇게 실행된 DLL은 패킹된 형태이며, 실행 중 실제 Hancitor DLL을 디코딩한 후 메모리 상에서 실행시킨다. Hancitor는 25KB 사이즈를 갖는 작은 다운로더 악성코드이며, 사용자 및 컴퓨터 이름, IP 주소, 운영체제 버전과 같은 감염 PC의 기본적인 정보를 획득한 후 C&C 서버에 전달한다. C&C 서버는 현재 악성코드 기준 3개를 갖는데, 차례대로 접속하면서 실패할 경우 다음 C&C 서버에 접속을 시도한다.

Hancitor C&C 주소
hxxp://sumbahas[.]com/8/forum.php
hxxp://staciterst[.]ru/8/forum.php
hxxp://semareake[.]ru/8/forum.php

C&C 서버 목록

C&C 서버에 다음과 같은 사용자 정보를 전달하면, 서버로부터 BASE64 및 추가적으로 암호화된 문자열을 전달받는다.

감염 PC 정보를 C&C 서버에 전달

전달받은 문자열이 디코딩되면 다음과 같은 {“명령 종류”:”URL”} 포맷의 문자열을 확인할 수 있다.

디코딩된 C&C 명령

Hancitor는 전달받은 명령들에 대해 다음과 같은 조건문에서 각각의 행위를 수행한다. 현재 명령을 보면 “b”이기 때문에, 전달받은 URL에서 PE를 다운로드 받고 새로 생성한 svchost.exe 프로세스에 인젝션한다.

Hancitor의 명령 수행 루틴

일반적인 환경에서 C&C 서버는 FickerStealer라는 정보 탈취 악성코드의 페이로드를 전달한다. 그렇기 때문에 새롭게 생성된 svchost.exe 내부에는 FickerStealer 페이로드가 동작하면서 정보 탈취 행위를 수행한다.

FickerStealer 다운로드 및 실행

Hancitor는 기업 환경 즉 Active Directory 환경에서는 FickerStealer 대신 코발트 스트라이크를 설치하는 것으로 알려져 있다. 실제로 AD 환경에서 Hancitor를 실행시킨 결과 일반 환경과는 다르게 다음과 같은 명령을 전달받는다.

AD 환경에서 전달받는 C&C 명령

1개는 위에서 다룬 FickerStealer이며, 나머지 2개는 실제 백도어 악성코드인 Beacon을 다운로드 받는 Stager 쉘코드이다. FickerStealer는 기존과 동일하게 “b” 명령으로 다운로드 및 실행하며, Stager는 쉘코드이기 때문에 “l” 명령을 이용한다. 각각의 Stager는 Beacon을 다운로드한 후 svchost.exe에 인젝션하며, 감염 PC에서는 2개의 코발트 스트라이크 beacon이 동작하게 된다.

Hancitor의 다운로드 주소
– 첫번째 Cobalt Strike Stager 다운로드 주소 : hxxp://kuragnda2[.]ru/2804.bin
– 두번째 Cobalt Strike Stager 다운로드 주소 : hxxp://kuragnda2[.]ru/2804s.bin
– FickerStealer 다운로드 주소 : hxxp://kuragnda2[.]ru/6fsjd89gdsug.exe

Cobalt Strike Stager의 다운로드 주소
– 첫번째 Cobalt Strike Beacon 다운로드 주소 : hxxp://45.170.245[.]190/qbU4
– 첫번째 Cobalt Strike Beacon 다운로드 주소 : hxxp://45.170.245[.]190/dO1x

Cobalt Strike Beacon의 C&C 주소
– 첫번째 Cobalt Strike Beacon의 C&C : hxxp://45.170.245[.]190/visit.js
– 첫번째 Cobalt Strike Beacon의 C&C : hxxp://45.170.245[.]190/activity

FickerStealer의 C&C 주소
hxxp://sweyblidian[.]com

코발트 스트라이크 다운로드 및 실행

Hancitor 악성코드는 스팸 메일을 통해 유포되고 있으며, 이에 따라 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

또한 안랩 제품에서는 코발트 스트라이크를 활용한 첫 침투 단계부터 내부 확산 시 사용되는 비컨 백도어에 대해 프로세스 메모리 기반의 탐지 방식과 행위 기반의 탐지 기술을 보유하고 있다.

[파일 진단]
– Downloader/Win.Hancitor.R418362 (2021.04.30.01) – 워드 문서 파일, Hancitor DLL.
– Dropper/MSOffice.Generic (2021.05.01.01) – 워드 문서 파일.
– Infostealer/Win.FickerStealer.R352614 (2020.10.05.04) – 메모리 상에 존재하는 FickerStealer
– Trojan/Win.CobaltStrike.R417512 (2021.04.24.03) – 메모리 상에 존재하는 CobaltStrike Beacon

[행위 진단]
– Malware/MDP.Execute.M363

[IOC]
파일

– 워드 문서 파일 : 693df6e9f5dc0cd3ed4c6ede503ce8bc
– Hancitor DLL : 5122d19bed77851f85775793e34bff09
– FickerStealer : 77be0dd6570301acac3634801676b5d7

Hancitor C&C
– hxxp://sumbahas[.]com/8/forum.php
– hxxp://staciterst[.]ru/8/forum.php
– hxxp://semareake[.]ru/8/forum.php

FickerStealer C&C
– hxxp://sweyblidian[.]com

Cobalt Strike
hxxp://kuragnda2[.]ru/2804.bin
– hxxp://kuragnda2[.]ru/2804s.bin
– hxxp://45.170.245[.]190/qbU4
– hxxp://45.170.245[.]190/dO1x
– hxxp://45.170.245[.]190/visit.js
– hxxp://45.170.245[.]190/activity

0 0 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] 한시터(Hancitor)는 스팸 메일 첨부 파일로 유포되는 다운로더로서, 추가 악성코드를 다운로드한다. 과거에는 정보 유출형 악성코드를 다운로드 하였지만, 최근에는 FickerStealer 정보유출형 악성코드를 다운로드한다. 이 때 시스템이 도메인에 속해있을 경우에는 다음과 같이 도메인 정보가 전달되고 FickerStealer 대신 코발트 스트라이크를 설치한다. 상세 내용은 안랩 TIP 보고서와 ASEC블로그에 공개되어 있다.[3] […]