Home > 전체기사

이모텟 운영자들, 기묘한 IP 주소 사용하기 시작

  |  입력 : 2022-01-25 11:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이모텟 운영자들, 16진법과 8진법 IP 주소 사용해 탐지 기술 회피

요약 : 이모텟(Emotet)이라는 악명 높은 멀웨어를 운영하는 자들이 기묘한 포맷의 IP 주소를 사용하기 시작했다. 16진법(h^tt^p^:/^/0xc12a24f5/cc.html)과 8진법(h^tt^p^:/^/0056.0151.0121.0114/c.html)의 숫자를 사용함으로써, 이 숫자들이 OS에서 자동으로 변환되면서 공격자들이 원하는 HTA 코드가 실행되도록 하는 기법이라고 한다. 이 공격의 최종 목적은 엑셀4.0의 악성 매크로를 발동시키는 것이다.

[이미지 = utoimage]


배경 : 이렇게 IP 주소의 포맷을 바꿀 경우 ‘패턴 매칭’을 기반으로 한 보안 솔루션들을 회피하는 게 가능해진다고 한다. 이모텟은 작년 국제 공조로 일망타진된 뒤 10개월 정도 잠잠했다가 작년 말부터 다시 활동을 시작했다.

말말말 : “이제는 죽었다 싶었던 멀웨어가 부활했을 뿐만 아니라, 새로운 공격 기법에 대한 연구도 꾸준히 진행되고 있다는 점을 다시 한 번 상기하게 됩니다.” -트렌드 마이크로(Trend Micro)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)