返回

Emotet垃圾邮件滥用非常规IP地址格式传播恶意软件

发布时间:2022-01-25 09:36:23 122

Emotet垃圾邮件活动

研究人员发现了一波又一波的使用非常规IP地址逃避检测的Emotet垃圾邮件活动,该活动使用十六进制和八进制表示IP地址,很可能通过模式匹配来规避检测。

我们观察到Emotet垃圾邮件活动使用IP地址的十六进制和八进制表示,很可能通过模式匹配逃避检测。这两个例程都使用社会工程技术来诱骗用户启用文档宏并自动执行恶意软件。收到这些标准后,操作系统(OS)会自动将这些值转换为点分十进制四元组表示,以启动来自远程服务器的请求。提醒用户和企业检测、阻止和启用相关安全措施,以防止使用Emotet进行恶意软件的第二阶段交付,例如TrickBot和Cobalt Strike。

使用十六进制IP地址的例程

攻击链始于使用Excel 4.0宏的电子邮件附件文档,恶意软件在用户打开文档后执行。URL用插入符号混淆,主机包含IP地址的十六进制表示。执行后,宏调用cmd.exe>mshta.exe并使用包含IP地址的十六进制表示形式的URL作为参数,它将从远程主机下载并执行HTML应用程序(HTA)代码。电子邮件中的附加文档如下:

Emotet垃圾邮件滥用非常规IP地址格式传播恶意软件

使用八进制IP地址的例程

与十六进制表示示例非常相似,该文档也使用Excel 4.0宏启用并运行恶意软件。URL也用插入符号混淆,但IP包含八进制表示。正如在进程树中观察到的,一旦执行,宏还会调用cmd.exe>mshta.exe,并将URL作为参数从远程主机下载并执行HTA代码。

十六进制和八进制IP地址的非常规使用可能会导致规避当前依赖模式匹配的解决方案。但同样,命令行中的不寻常技术可以被用作检测机会,安全团队可以使用过滤器作为杠杆,使其能够将此类IP地址视为可疑地址,并将其与恶意软件相关联。

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线
下一篇
通过电子邮件传播STRRAT木马 2022-01-24 17:48:16