Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak amacıyla ilk kez “geleneksel olmayan” IP adresi biçimlerinin kullanıldığı gözlemlendi.

Bu, temel işletim sistemleri tarafından işlendiğinde otomatik olarak “uzak sunuculardan gelen isteği başlatmak için noktalı ondalık dörtlü gösterime” dönüştürülen IP adresinin onaltılık ve sekizli temsillerinin kullanımını içerir, Trend Micro’nun Tehdit Analisti, Ian Kenefick , Cuma günü bir raporunda belirtti.

Bulaşma zincirleri, önceki Emotet ile ilgili saldırılarda olduğu gibi, kullanıcıları kandırarak belge makrolarını etkinleştirmeyi ve kötü amaçlı yazılım yürütmeyi otomatikleştirmeyi amaçlıyor. Belge, kötü niyetli kişiler tarafından kötü amaçlı yazılım dağıtmak için defalarca kötüye kullanılan bir özellik olan Excel 4.0 Makrolarını kullanıyor.

Etkinleştirildiğinde, makro, bir HTML uygulamasını (HTA) yürütmek için IP adresinin onaltılık bir gösterimini içeren ana bilgisayar – “h^tt^p^:/^/0xc12a24f5/cc.html” ile, şapkalarla karıştırılmış bir URL’yi çağırır. Uzak ana bilgisayardan gelen kod bu şekildedir.

Kimlik avı saldırısının ikinci bir türü de aynı çalışma biçimini izler, tek fark IP adresinin artık sekizli biçiminde kodlanmış olmasıdır – “h^tt^p^:/^/0056.0151.0121.0114/c.html”.

Kenefick, “Onaltılık ve sekizli IP adreslerinin alışılmadık kullanımı, desen eşleştirmeye dayanan mevcut çözümlerden kaçınmaya neden olabilir.” Dedi. “Bunun gibi kaçınma teknikleri, saldırganların kalıp tabanlı algılama çözümlerini engellemek için yenilik yapmaya devam ettiğinin kanıtı olarak kabul edilebilir.”

Gelişme, koordineli bir kolluk kuvvetleri operasyonunun ardından 10 aylık bir aradan sonra geçen yılın sonlarında yenilenen Emotet etkinliğinin ortasında geldi. Aralık 2021’de araştırmacılar, kötü amaçlı yazılımın taktiklerini Kobalt Strike Beacon’ları doğrudan ele geçirilmiş sistemlere bırakmak için geliştirdiğine dair kanıtları ortaya çıkardı.

Bulgular ayrıca, Microsoft’un müşterileri güvenlik tehditlerine karşı korumak için Excel 4.0 (XLM) Makrolarını varsayılan olarak devre dışı bırakma planlarını açıklamasıyla da geldi. Şirket geçen hafta yaptığı açıklamada, “Bu ayar artık varsayılan olarak Excel 4.0 (XLM) makrolarının Excel’de devre dışı bırakılmasına (Derleme 16.0.14427.10000) ayarlandı.”

Bu makalemizi beğendiyseniz sizleri Metasploittable 2 adlı makalemize bekleriz https://www.ozztech.net/siber-guvenlik/metasploittable-2/

Ve daha fazlası için sizleri Youtube kanalımıza bekleriz: https://www.youtube.com/channel/UCHamQAQ_Vvku0wRkueRwiWw

İlginizi Çekebilecek Makaleler​

Kuantum Bilgisayar Nedir?

 Kuantum bilgisayarlar ile günümüzde kullanılan klasik aritmatiksel bilgisayarlar arasındaki temel fark, veriyi ele alma yöntemleridir.Hesap Makinalarından ve AllInOne bilgisayarlar ve Garry Kasparov’u yendiği kabul

Devamı »
Ubuntu Server Nedir ve Nasıl Kurulur?

Ubuntu Server Nedir? Ubuntu Sunucusu,  Canonical ve açık kaynaklı programcılar tarafından geliştirilen ve LinuxONE aracılığıyla x86, x86-64, ARM64, ARM v7 gibi tüm önemli mimarilerinde çalışabilen

Devamı »
Front End Geliştiricisi Nasıl Olunur?

Front-End Developer, web sitesinin ve uygulamaların kullanıcı arayüzlerini tasarlayan ve geliştiren kişidir. Web veya Uygulamanın tasarımını belirlemekten, kullanıcı deneyimini iyileştirmesi, web uygulamalarını farklı cihazlar ve

Devamı »
STP Nedir ve Nasıl Çalışır?

Spanning Tree Protokolü (STP), bir ağ topolojisi içinde döngü oluşmasını önlemek için kullanılan bir Katman 2 ağ protokolüdür. STP, bilgisayarlar yedekli yollar içeren bir yerel alan

Devamı »