Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak amacıyla ilk kez “geleneksel olmayan” IP adresi biçimlerinin kullanıldığı gözlemlendi.

Bu, temel işletim sistemleri tarafından işlendiğinde otomatik olarak “uzak sunuculardan gelen isteği başlatmak için noktalı ondalık dörtlü gösterime” dönüştürülen IP adresinin onaltılık ve sekizli temsillerinin kullanımını içerir, Trend Micro’nun Tehdit Analisti, Ian Kenefick , Cuma günü bir raporunda belirtti.

Bulaşma zincirleri, önceki Emotet ile ilgili saldırılarda olduğu gibi, kullanıcıları kandırarak belge makrolarını etkinleştirmeyi ve kötü amaçlı yazılım yürütmeyi otomatikleştirmeyi amaçlıyor. Belge, kötü niyetli kişiler tarafından kötü amaçlı yazılım dağıtmak için defalarca kötüye kullanılan bir özellik olan Excel 4.0 Makrolarını kullanıyor.

Etkinleştirildiğinde, makro, bir HTML uygulamasını (HTA) yürütmek için IP adresinin onaltılık bir gösterimini içeren ana bilgisayar – “h^tt^p^:/^/0xc12a24f5/cc.html” ile, şapkalarla karıştırılmış bir URL’yi çağırır. Uzak ana bilgisayardan gelen kod bu şekildedir.

Kimlik avı saldırısının ikinci bir türü de aynı çalışma biçimini izler, tek fark IP adresinin artık sekizli biçiminde kodlanmış olmasıdır – “h^tt^p^:/^/0056.0151.0121.0114/c.html”.

Kenefick, “Onaltılık ve sekizli IP adreslerinin alışılmadık kullanımı, desen eşleştirmeye dayanan mevcut çözümlerden kaçınmaya neden olabilir.” Dedi. “Bunun gibi kaçınma teknikleri, saldırganların kalıp tabanlı algılama çözümlerini engellemek için yenilik yapmaya devam ettiğinin kanıtı olarak kabul edilebilir.”

Gelişme, koordineli bir kolluk kuvvetleri operasyonunun ardından 10 aylık bir aradan sonra geçen yılın sonlarında yenilenen Emotet etkinliğinin ortasında geldi. Aralık 2021’de araştırmacılar, kötü amaçlı yazılımın taktiklerini Kobalt Strike Beacon’ları doğrudan ele geçirilmiş sistemlere bırakmak için geliştirdiğine dair kanıtları ortaya çıkardı.

Bulgular ayrıca, Microsoft’un müşterileri güvenlik tehditlerine karşı korumak için Excel 4.0 (XLM) Makrolarını varsayılan olarak devre dışı bırakma planlarını açıklamasıyla da geldi. Şirket geçen hafta yaptığı açıklamada, “Bu ayar artık varsayılan olarak Excel 4.0 (XLM) makrolarının Excel’de devre dışı bırakılmasına (Derleme 16.0.14427.10000) ayarlandı.”

Bu makalemizi beğendiyseniz sizleri Metasploittable 2 adlı makalemize bekleriz https://www.ozztech.net/siber-guvenlik/metasploittable-2/

Ve daha fazlası için sizleri Youtube kanalımıza bekleriz: https://www.youtube.com/channel/UCHamQAQ_Vvku0wRkueRwiWw

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »