Айпифускация или что скрывают IP-адреса
При анализе рансомвари от группировки Hive спецы обнаружили новый, весьма занятный метод запутывания кода.
Безобидный список IP-адресов после конвертации в бинарник превращается в шелл-код, через который подтягивается одним из двух методов полезная нагрузка Cobalt Strike. Этот метод уже окрестили IPfuscation, неблагозвучные айпифускация или айпипутывание, если по-нашему. По ссылке техразбор используемых манипуляций.
Из всего этого напрашивается вывод, что от сигнатурного обнаружения в наши дни толку всё меньше. Подобные угрозы требуют более изощрённых контрмер, будь то поведенческий анализ или применение ИИ. Что ж, как поэтично пишут в Bleeping Computer, приподнимем вуаль над айпипутыванием вместе!