Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak amacıyla ilk kez “geleneksel olmayan” IP adresi biçimlerinin kullanıldığı gözlemlendi.
Bu, temel işletim sistemleri tarafından işlendiğinde otomatik olarak “uzak sunuculardan gelen isteği başlatmak için noktalı ondalık dörtlü gösterime” dönüştürülen IP adresinin onaltılık ve sekizli temsillerinin kullanımını içerir, Trend Micro’nun Tehdit Analisti, Ian Kenefick , Cuma günü bir raporunda belirtti.
Bulaşma zincirleri, önceki Emotet ile ilgili saldırılarda olduğu gibi, kullanıcıları kandırarak belge makrolarını etkinleştirmeyi ve kötü amaçlı yazılım yürütmeyi otomatikleştirmeyi amaçlıyor. Belge, kötü niyetli kişiler tarafından kötü amaçlı yazılım dağıtmak için defalarca kötüye kullanılan bir özellik olan Excel 4.0 Makrolarını kullanıyor.
Etkinleştirildiğinde, makro, bir HTML uygulamasını (HTA) yürütmek için IP adresinin onaltılık bir gösterimini içeren ana bilgisayar – “h^tt^p^:/^/0xc12a24f5/cc.html” ile, şapkalarla karıştırılmış bir URL’yi çağırır. Uzak ana bilgisayardan gelen kod bu şekildedir.
Kimlik avı saldırısının ikinci bir türü de aynı çalışma biçimini izler, tek fark IP adresinin artık sekizli biçiminde kodlanmış olmasıdır – “h^tt^p^:/^/0056.0151.0121.0114/c.html”.
Kenefick, “Onaltılık ve sekizli IP adreslerinin alışılmadık kullanımı, desen eşleştirmeye dayanan mevcut çözümlerden kaçınmaya neden olabilir.” Dedi. “Bunun gibi kaçınma teknikleri, saldırganların kalıp tabanlı algılama çözümlerini engellemek için yenilik yapmaya devam ettiğinin kanıtı olarak kabul edilebilir.”
Gelişme, koordineli bir kolluk kuvvetleri operasyonunun ardından 10 aylık bir aradan sonra geçen yılın sonlarında yenilenen Emotet etkinliğinin ortasında geldi. Aralık 2021’de araştırmacılar, kötü amaçlı yazılımın taktiklerini Kobalt Strike Beacon’ları doğrudan ele geçirilmiş sistemlere bırakmak için geliştirdiğine dair kanıtları ortaya çıkardı.
Bulgular ayrıca, Microsoft’un müşterileri güvenlik tehditlerine karşı korumak için Excel 4.0 (XLM) Makrolarını varsayılan olarak devre dışı bırakma planlarını açıklamasıyla da geldi. Şirket geçen hafta yaptığı açıklamada, “Bu ayar artık varsayılan olarak Excel 4.0 (XLM) makrolarının Excel’de devre dışı bırakılmasına (Derleme 16.0.14427.10000) ayarlandı.”
Bu makalemizi beğendiyseniz sizleri Metasploittable 2 adlı makalemize bekleriz https://www.ozztech.net/siber-guvenlik/metasploittable-2/
Ve daha fazlası için sizleri Youtube kanalımıza bekleriz: https://www.youtube.com/channel/UCHamQAQ_Vvku0wRkueRwiWw