【安全资讯】攻击者使用非常规 IP 地址格式,传播Emotet恶意软件
引言
研究人员观察到Emotet垃圾邮件的新活动,该活动使用十六进制和八进制表示IP地址,很可能通过模式匹配来规避检测。
简况
使用十六进制 IP 地址的例程
攻击链始于使用Excel 4.0宏的电子邮件附件文档,恶意软件在用户打开文档后执行。 URL 用插入符号混淆,主机包含 IP 地址的十六进制表示。执行后,宏调用cmd.exe > mshta.exe并使用包含 IP 地址的十六进制表示形式的 URL 作为参数,它将从远程主机下载并执行 HTML 应用程序 (HTA) 代码。电子邮件中的附加文档如下:
使用八进制 IP 地址的例程
与十六进制表示示例非常相似,该文档也使用 Excel 4.0 宏启用并运行恶意软件。URL 也用插入符号混淆,但 IP 包含八进制表示。正如在进程树中观察到的,一旦执行,宏还会调用cmd.exe > mshta.exe,并将 URL 作为参数从远程主机下载并执行 HTA 代码。
总结
攻击者非常规地使用十六进制和八进制 IP 地址,从而规避当前依赖模式匹配的解决方案。
失陷指标(IOC)4
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享