16진수 표기법 주소를 통해 설치되는 ShellBot DDoS 악성코드 - ASEC BLOG 관련 IOC 32개 발견
AhnLab의 ASEC은 최근 리눅스 SSH 서버에 설치되고 있는 ShellBot 악성코드의 유포 방식이 변경됐음을 확인했다. 다운로드 주소가 일반적인 IP 주소 대신 16진수 값으로 변경됐다. 공격자들은 URL 진단을 우회하기 위해 10진수나 16진수 표기법을 사용하며, 피싱 PDF 악성코드에는 10진수 주소가 포함됐다.
AhnLab의 ASEC이 최근 리눅스 SSH 서버에 설치된 ShellBot 악성코드의 유포 방식이 변경됐음을 확인했다. 다운로드 주소가 일반적인 IP 주소 대신 16진수 값으로 변경되었으며, 공격자들은 URL 진단을 우회하기 위해 10진수나 16진수 표기법을 사용하고 있다. 피싱 PDF 악성코드에는 10진수 주소가 포함됐다.
Ahnlab
Shellbot DDOS malware installed through the hexadecimal notation address -asec blog
Ahnlab’s ASEC recently confirmed that the dissemination of the Shellbot malware, which is being installed on the Linux SSH server, has been changed.The download address has been changed to hexadecimal value instead of a general IP address.Attackers use 10 lines or hexadecimal notation to bypass the URL diagnosis, and phishing PDF malware includes decimal addresses.
Ahnlab’s ASEC recently confirmed that the dissemination of the Shellbot malware installed on the Linux SSH server has changed.The download address has been changed to hexadecimal value instead of the usual IP address, and attackers use decimal or hexadecimal notation to bypass the URL diagnosis.Phishing PDF malware includes decimal addresses.
https://asec.ahnlab.com/ko/57562/