近日,来自巴黎的恶意软件研究人员Benkow发现,一台服务器因配置不当,被Onliner 垃圾邮件 僵尸程序(Spambot)入侵并利用,入侵的服务器中存有7亿多条数据供Onliner使用,包括大量的邮件地址、密码和SMTP配置。随后,研究人员Troy Hunt将这些数据添加到了自己的“Have I Been Pwned (HIBP)”网站及服务中。
Onliner垃圾邮件服务器数据泄露
对涉事服务器进行追踪,发现其IP地址位于荷兰。Hunt在昨天的博文中写道,
“我和Benkow联系到了当地一位可靠人士,他正同执法部门沟通,以尽快关闭该服务器。”
然而,因为该数据库在网上可以公开访问,可能其他攻击者已访问并下载了相关数据。Fidelis网络安全公司威胁情报主管John Bambenek认为,
“以为其他犯罪分子或垃圾邮件团伙还没有获取这些信息,这是很天真的想法,因为这些信息对于这类人来说太重要了。
人难免犯错,正因为如此,非常有必要建立数据集,对人类活动进行长期监控和追踪。这些错误数据有助于抓获黑客,将其绳之以法。”
Onliner垃圾邮件黑产也会入侵大量网站 也有精准营销技术手段
Benkow在自己的博文中提到,虽然Outliner有大量潜在目标,但该程序主要用于定向攻击。
“最迟自2016年起,Outliner开始用于传播 Ursnif银行木马 。我发现它针对的是一些特定国家如意大利或特定行业如酒店业。”
他表示,使用这种定向方法的其中一个原因是,在过去几年间,开发和部署了许多性能更优的垃圾邮件检测和预防技术,多数用于垃圾邮件分发的开放式中继被拉入了黑名单。这样,攻击者首先需要入侵大量网站(Benkow认为数量在10,000~20,000之间),再植入PHP脚本,发送邮件。考虑到“网络上的过期网站不计其数”,他认为,
“很难将每个网站都加入黑名单,因此利用它们发送垃圾邮件易如反掌。”
传播恶意软件时用到的邮件目标并非随机选取,而是经过精心设计。攻击者先使用Outliner发送看似安全的邮件。Benkow举了下面一个例子:
“嗨,状元{朋友|冠军\粉丝}!{你好!|今天过得怎么样?}
{我叫|是}Natalia。你相信{宿命|命运}吗?
爱和希望如影随形。{抱歉|请原谅},我的英语不好,但我希望你能{理解|明白}……”
糟糕的是,邮件包含一个隐藏的单像素GIF图片,用于记录接收设备的特征。Benkow解释道,
“一旦你打开这样的垃圾邮件,程序就会向该GIF的服务器请求获取你的IP地址和User-Agent信息。
利用这些信息,攻击者就能知道你打开邮件的时间、地点和设备(iPhone?Outlook?……)。
同时,请求还让攻击者知道,邮件有效,因为有人确实打开了邮件。”
这些信息足以让攻击者定位目标。用这种方法,能减少用于传播恶意软件的垃圾邮件实际发送量,更有针对性(例如,可以避免将Windows恶意软件发送到iPhone设备中),防止攻击引起执法部门的注意。
Benkow认为,安全人员应该花更多的时间分析垃圾邮件发送者和Spambot。他写道,
“成功的网络犯罪行动有多个部分,最终的内容很重要,但垃圾邮件通信过程同样重要。
Locky病毒 之类的恶意软件攻击之所以成功,也是因为垃圾邮件发挥了作用。”
7.11亿条邮件地址及相关数据
同时,Troy Hunt对Outliner数据做了分析。从数量上看,数据库共有7.11亿条数据,几乎与欧洲人口总数一样多。数据库里有“海量的邮件地址”(作为垃圾邮件目标)以及邮件账号/密码组合(可利用用户的SMTP服务器发送垃圾邮件)。
并非所有的数据都可以直接拿来用。Hunt分析,“有些数据没有充分解析,我估计是从网上抓取的,例如,Employees-bringing-in-their-own-electrical-appliances.htmlmark.cornish@bowelcanceruk.org.uk这个地址出现了两次。”
其中一个文件有120万行, 似乎是从LinkedIn窃取的邮件账号和密码,密码是明文格式。“所有那些密码【LinkedIn中泄露的密码】都是SHA1哈希(没加盐),”他说,
“所以,很可能数据库中1.64亿个地址中只有一小部分是这样,密码可以破解。”
他还提到,有一个类似文件包含 420万个邮件账号和密码对 ,几乎可以肯定来自于Exploit.In。
“这下你明白了吧,我们的数据只要曾经出现在公网,就会被到处传播。”
另一个文件包含3000条记录, 包括邮件地址、密码、SMTP服务器和端口。他补充道,
“数据的价值不言而喻。成千上万个有效SMTP账号为攻击者提供了大量的邮件服务器,可以用来发送垃圾邮件。这样的文件有不少,其中有一个包含142,000条邮件地址、密码、SMTP服务器和端口。”
他表示,对于所有人来说,不幸的现实是“邮件地址成为了可以随意共享、交易的商品,被坏人无耻利用,向我们发送各种垃圾邮件,从伟哥推销到承诺分享尼日利亚王子的财富不一而足。这就是今天的网络生活。”
这只是传统的垃圾邮件攻击。Benkow对Onliner传播恶意软件尤其是Ursnif进行了追踪。据信,全球约有10万台计算机受到感染。
目前这笔数据在haveibeenpwned网站上已经有效
原文发布时间:2017年9月1日
本文由:securityWeek发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/onliner-dark-industry
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
