×

垃圾邮件发送者使用十六进制IP地址逃避检测

作者:Terry2020.09.21来源:Web前端之家浏览:4459评论:0
关键词:邮箱

垃圾邮件中的链接看起来像http:// 0xD83AC74E,而不是“ domain.com”。


垃圾邮件组采用了一个非常巧妙的技巧,使它可以绕过电子邮件过滤器和安全系统,并进入比平常更多的收件箱。

该技巧依赖于RFC791  (一个描述Internet协议(IP)的标准)中的怪癖  。

在各种技术细节中,RFC791也是描述IP地址外观的标准。我们大多以点分十进制地址(例如192.168.0.1)的最普遍形式知道它们。

但是,IP地址也可以用其他三种格式写入:

  • 八进制-0300.0250.0000.0001(通过将每个十进制数字转换为八进制基数)

  • 十六进制-0xc0a80001(通过将每个十进制数字转换为十六进制)

  • 整数/ DWORD-3232235521(通过将十六进制IP转换为整数)

好吧,一个垃圾邮件发送者小组显然已经掌握了窍门。

根据Trustwave昨日发布的一份报告, 自今年7月中旬以来,垃圾邮件组织已在其广告系列中采用  十六进制IP地址。

该小组一直在发送包含指向其垃圾邮件站点链接的电子邮件,而不是包含诸如“ spam-website.com”之类的域名的电子邮件,其中包含外观怪异的URL,例如https:// 0xD83AC74E。

这些实际上是垃圾邮件发送者托管其垃圾邮件网站基础结构的十六进制IP地址。

尽管网络浏览器能够解释十六进制IP地址并加载在服务器上找到的网站,但似乎该技巧足以帮助垃圾邮件组逃避检测,同时散发大量药品/药片垃圾邮件。

Trustwave表示,自采用此技巧以来,该小组的运营已大大增加,因为他们已经能够在用户的收件箱中放入更多邮件。

hexadecimal-spam.png


该活动还标志着近年来第二次发现十六进制IP地址被用于恶意软件活动。

在2019年夏季,PsiXBot木马的运营商还使用了十六进制IP地址来隐藏其命令和控制服务器的位置。

但是,除了十六进制版本之外,恶意软件作者还滥用了其他IP寻址方案。2011年,Zscaler发现了恶意Word文档,这些文档使用整数/ DWORD IP地址隐藏了远程存储的恶意资源的位置,这些资源将在受感染的主机上下载。

就像在Trustwave报告中一样,以前的操作使用这些奇怪的IP寻址方案作为绕过检测的方法,因为并非所有安全软件都完全符合RFC791。

您的支持是我们创作的动力!
温馨提示:本文作者系Terry ,经Web前端之家编辑修改或补充,转载请注明出处和本文链接:
https://jiangweishan.com/article/hulianwang02340933333.html

网友评论文明上网理性发言已有0人参与

发表评论: