Spam Gönderenler, Tespit Edilmemek İçin Onaltılık IP Adresi Kullanıyor
Özellikle son zamanlarda bazı spam e-postalarındaki bağlantılar “domain.com” yerine http://0xD83AC74E formatını kullanmaya başladılar.
Bir spam grubu attıkları spamlerin, e-posta filtrelerini ve güvenlik sistemlerini atlatmalarına ve normalden daha fazla gelen kutusuna girmelerine izin veren oldukça akıllıca bir numara buldu.
Bu yeni yöntem spamlerdeki numaranın püf noktası, İnternet Protokolünü (IP) tanımlayan bir standart olan RFC791’deki belirlemelere dayanıyor.
Çeşitli teknik detayların yanı sıra, RFC791 ayrıca IP adreslerinin nasıl göründüğünü de açıklayan bir standart. Bunların tartışmasız en yaygın olanı ise noktalı-ondalık gösterim (örneğin 192.168.0.1).
Bunun yanında, IP adresleri şu üç biçimde de yazılabilir:
- Sekizli – 0300.0250.0000.0001 (her ondalık sayıyı sekizlik tabana dönüştürerek)
- Onaltılık – 0xc0a80001 (her ondalık sayıyı onaltılık tabana dönüştürerek)
- Tamsayı / DWORD – 3232235521 (onaltılık IP’yi tam sayıya dönüştürerek)
Spam gönderen bir grup, RFC791’deki bu farklı gösterim tanımlarını kullanarak e-posta filtrelerini nispeten kandırmayı başarmış görünüyor.
Trustwave tarafından yayınlanan bir rapora göre, bir spam grubu bu yılın Temmuz ayının ortasından bu yana kampanyaları için gönderdikleri spamlerde onaltılık IP adreslerini kullanmaya başladı.
Grup, spam sitelerine bağlantılar içeren e-postalar gönderiyor, ancak bu e-postalar “spam-website.com” gibi alan adları yerine https: // 0xD83AC74E gibi tuhaf görünen URL’ler içeriyor.
Bunlar aslında spam gönderenlerin, spam web sitesi altyapılarını barındırdıkları onaltılık IP adresleri.
Web tarayıcılarının onaltılık IP adreslerini sekizlik adreslere çevirip, sunucuda bulunan web sitesini yüklemesi, hile, spam gruplarının yüksek yoğunlukta yolladığı ilaç/hap spam mesajlarının da tespit edilememesine yardımcı oluyor.
Trustwave spam gönderenlerin, kullanıcıların gelen kutularına daha fazla mesaj gönderebildiklerinden dolayı bu numarayı benimsemelerinden bu yana operasyonlarının önemli ölçüde arttığını söylüyor.
Daha önce de benzer örneklerin yaşandığı tespit edildi
Bu araştırma ile aynı zamanda, son yıllarda bir kötü amaçlı yazılım kampanyasında ikinci kez onaltılık IP adreslerinin kullanıldığı tespit edildi.
Ortaya çıkan diğer olayda ise, 2019 yazında PsiXBot truva atının operatörleri, komuta ve kontrol sunucularının konumunu gizlemek için onaltılık IP adreslerini kullanmışlar.
Onaltılık sürümün yanı sıra, diğer IP adresleme şemaları da kötü amaçlı yazılım geliştiricileri tarafından kullanıldılar. 2011 yılında , virüslü ana bilgisayarlara indirecekleri uzaktan depolanan kötü amaçlı kaynakların konumunu gizlemek için tamsayı / DWORD IP adreslerini kullanan kötü amaçlı Word belgeleri Zscaler isimli siber güvenlik firması tarafından tespit edilmişti.
Trustwave’in raporunda olduğu gibi, önceki işlemlerde de, bu çeşitli IP adresleme şemaları, tüm güvenlik yazılımları tam olarak RFC791 uyumlu olmadığından, algılamayı atlamanın bir yolu olarak kullanıldı.