【安全资讯】攻击者使用非常规 IP 地址格式，传播Emotet恶意软件

引言

研究人员观察到Emotet垃圾邮件的新活动，该活动使用十六进制和八进制表示IP地址，很可能通过模式匹配来规避检测。

简况

使用十六进制 IP 地址的例程

攻击链始于使用Excel 4.0宏的电子邮件附件文档，恶意软件在用户打开文档后执行。 URL 用插入符号混淆，主机包含 IP 地址的十六进制表示。执行后，宏调用cmd.exe > mshta.exe并使用包含 IP 地址的十六进制表示形式的 URL 作为参数，它将从远程主机下载并执行 HTML 应用程序 (HTA) 代码。电子邮件中的附加文档如下：

使用八进制 IP 地址的例程

与十六进制表示示例非常相似，该文档也使用 Excel 4.0 宏启用并运行恶意软件。URL 也用插入符号混淆，但 IP 包含八进制表示。正如在进程树中观察到的，一旦执行，宏还会调用cmd.exe > mshta.exe，并将 URL 作为参数从远程主机下载并执行 HTA 代码。

总结

攻击者非常规地使用十六进制和八进制 IP 地址，从而规避当前依赖模式匹配的解决方案。