Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Emotet hiện đang sử dụng các định dạng địa chỉ IP không thông thường để tránh bị phát hiện

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 243
Emotet

Các chiến dịch kỹ nghệ xã hội liên quan đến việc triển khai mạng botnet phần mềm độc hại Emotet đã được quan sát thấy lần đầu tiên bằng cách sử dụng các định dạng địa chỉ IP “độc đáo” nhằm nỗ lực tránh né sự phát hiện của các giải pháp bảo mật.

Điều này liên quan đến việc sử dụng các biểu diễn thập lục phân và bát phân của địa chỉ IP mà khi được xử lý bởi các hệ điều hành bên dưới, sẽ được tự động chuyển đổi “sang biểu diễn tứ phân có dấu chấm để bắt đầu yêu cầu từ các máy chủ từ xa”, Nhà phân tích mối đe dọa của Trend Micro, Ian Kenefick , nói trong một báo cáo thứ sáu.

Sao lưu GitHub tự động

Các chuỗi lây nhiễm, cũng như các cuộc tấn công liên quan đến Emotet trước đây, nhằm mục đích lừa người dùng bật macro tài liệu và tự động thực thi phần mềm độc hại. Tài liệu sử dụng Macro Excel 4.0, một tính năng đã được nhiều lần lạm dụng bởi các tác nhân độc hại để cung cấp phần mềm độc hại.

Sau khi được bật, macro sẽ gọi một URL bị xáo trộn bằng dấu mũ, với máy chủ lưu trữ kết hợp biểu diễn thập lục phân của địa chỉ IP - “h ^ tt ^ p ^: / ^ / 0xc12a24f5 / cc.html” - để thực thi một ứng dụng HTML (HTA ) mã từ máy chủ từ xa.

Emotet

Một biến thể thứ hai của cuộc tấn công lừa đảo tuân theo cùng một mô thức, điểm khác biệt duy nhất là địa chỉ IP hiện được mã hóa ở định dạng bát phân - “h ^ tt ^ p ^: / ^ / 0056.0151.0121.0114 / c.html”.

Kenefick cho biết: “Việc sử dụng bất thường các địa chỉ IP hệ thập lục phân và bát phân có thể dẫn đến việc né tránh các giải pháp hiện tại dựa vào đối sánh mẫu”. “Các kỹ thuật trốn tránh như thế này có thể được coi là bằng chứng về việc những kẻ tấn công tiếp tục đổi mới để cản trở các giải pháp phát hiện dựa trên mẫu”.

Ngăn chặn vi phạm dữ liệu

Sự phát triển đến giữa hoạt động Emotet đổi mới vào cuối năm ngoái sau 10 tháng gián đoạn kéo dài XNUMX tháng do sự phối hợp hoạt động thực thi pháp luật. Vào tháng 2021 năm XNUMX, các nhà nghiên cứu đã phát hiện ra bằng chứng về việc phần mềm độc hại đã phát triển các chiến thuật của nó để thả Cobalt Strike Beacons trực tiếp vào các hệ thống bị xâm nhập.

Các phát hiện cũng đến khi Microsoft tiết lộ kế hoạch tắt Macro Excel 4.0 (XLM) theo mặc định để bảo vệ khách hàng trước các mối đe dọa bảo mật. “Cài đặt này hiện mặc định thành macro Excel 4.0 (XLM) đang bị tắt trong Excel (Bản dựng 16.0.14427.10000),” công ty công bố tuần trước.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?