Emotet现在使用非传统的IP地址格式来逃避检测

涉及部署Emotet恶意软件僵尸网络的社会工程活动首次被观察到使用“非常规”IP地址格式，以避开安全解决方案的检测

趋势科技的威胁分析师伊恩·肯尼克（Ian Kenefick）在周五的一份报告中说，这涉及到IP地址的十六进制和八进制表示，当底层操作系统对其进行处理时，会自动转换为“点十进制四进制表示法”，以启动来自远程服务器的请求

与之前的Emotet相关攻击一样，感染链旨在诱骗用户启用文档宏并自动执行恶意软件。该文档使用了Excel 4.0宏，这是一项被恶意参与者反复滥用的功能，用于交付恶意软件

一旦启用，宏将调用一个用插入符号混淆的URL，主机将包含IP地址的十六进制表示形式—；“h^tt^p^://^/0xc12a24f5/cc.html”—；从远程主机执行HTML应用程序（HTA）代码

网络钓鱼攻击的第二种变体遵循相同的操作方式，唯一的区别是IP地址现在以八进制格式编码—；“h^tt^p^://^/0056.0151.0121.0114/c.html”

“非常规使用十六进制和八进制IP地址可能会导致逃避依赖于模式匹配的当前解决方案，”Kenefick说。“像这样的规避技术可以被视为攻击者继续创新以阻止基于模式的检测解决方案的证据。”

这一进展发生在去年年底，在一次协调执法行动之后，Emotet活动中断了10个月，随后又恢复了活动。在2021年12月，研究人员发现了恶意软件进化的证据，将其策略直接落在受损系统上的钴攻击信标。

随着微软宣布计划在默认情况下禁用Excel 4.0（XLM）宏，以保护客户免受安全威胁，这些发现也随之出现。该公司上周宣布：“该设置现在默认为Excel 4.0（XLM）宏在Excel（Build 16.0.14427.10000）中被禁用。”