포스팅 내용

국내외 보안동향

스패머들, 탐지를 피하기 위해 16진수 IP 주소 사용

Spammers use hexadecimal IP addresses to evade detection

 

한 스팸 그룹이 이메일 필터와 보안 시스템을 우회하고 받은 편지함에 도달하기 위해 속임수를 사용하기 시작했습니다.

 

이 트릭은 인터넷 프로토콜(IP)을 설명하는 표준인 RFC791의 특이점을 이용합니다.

 

RFC791IP 주소가 어떻게 표시될지 설명하는 표준입니다. 대부분의 경우 점으로 구분되는 10진수 주소(: 192.168.0.1)로 알고있습니다.

 

하지만 IP 주소는 아래 포맷 3가지로 작성될 수 있습니다.

 

8진수 - 0300.0250.0000.000 (각 10진수를 8진수로 변환)

16진수 - 0xc0a80001 (각 10진수를 16진수로 변환)

정수/DWORD - 3232235521 (16진수 IP를 정수로 변환)

 

Trustwave가 발생한 보고서에 따르면 한 스팸 그룹이 올 7월부터 16진수 IP 주소를 사용하기 시작한 것으로 나타났습니다.

 

이 그룹은 스팸 사이트로 연결되는 링크를 포함한 이메일을 보낼 때 "spam-website[.]com"과 같은 도메인명 대신 hxxps://0xD83AC74E와 같은 형태를 사용하기 시작했습니다.

 

이는 스패머가 스팸 웹사이트 인프라를 호스팅하는 16진수 IP 주소입니다.

 

웹 브라우저는 16진수 IP 주소를 읽고 서버에서 찾은 웹사이트를 로드할 수 있습니다. 스팸 그룹은 이를 악용하여 탐지를 피하고 의약품/마약 관련 스팸 메시지를 대량으로 보낼 수 있는 것으로 나타났습니다.

 

Trustwave는 해당 그룹이 이 트릭을 사용하기 시작한 이후 더 많은 스팸 메일을 피해자의 받은 편지함에 도달시킬 수 있어 활동이 급격히 증가했다고 밝혔습니다.

 

 

<이미지 출처: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/evasive-urls-in-spam/>

 

 

이는 최근 몇 년간 발견된 16진수 IP 주소를 사용하는 캠페인 중 두 번째로 발견되었습니다.

 

2019년 여름, PsiXBot 트로이목마의 운영자들 또한 C2서버의 위치를 숨기기 위해 16진수 IP 주소를 사용했습니다.

 

그러나 악성코드 제작자들은 16진수 버전 이외에 다른 IP 주소 체계도 악용했습니다. 2011, Zscaler는 원격으로 저장된 악성 리소스의 위치를 숨기기 위해 정수/DWORD IP 주소를 사용한 악성 워드 문서를 발견했습니다.

 

Trustwave의 보고서에서 밝힌 대로 모든 보안 소프트웨어가 RFC791를 지원하는 것은 아니기 때문에 이전 작전에서 이러한 IP 주소 체계를 이용하여 우회를 탐지할 수 있었던 것으로 나타났습니다.

 

 

 

 

출처:

https://www.zdnet.com/article/spammers-use-hexadecimal-ip-addresses-to-evade-detection/

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/evasive-urls-in-spam/


티스토리 방명록 작성
name password homepage