テストスパム?失敗スパム?
Published: 2008/10/07
ボットネットの観測をしていると、明らかにツールの不備による失敗攻撃や、試験攻撃みたいなものをよく見かけます。
特にスパムに関してはスパム送信側を観察していることになるのでスパマーの行動がよくみえたりします。
その1
8月頃から非常に多くの感染を確認しているものの一つにspambotのバリエーションの一つ、「WORM_JOLEEE.J (Trend)」「Troj/Proxy-IP (Sophos)」「Email-Worm.Win32.Joleee.k (Kaspersky)」があります。
このボットはHTTPリクエストを利用してCnCからスパム送信に必要な下記情報をダウンロードしてきます。
- MTA情報
- ターゲットメールアドレス
- 文面
など。
このボットは感染直後の初期シーケンスでCnCに対して次のようなHTTPリクエストを使ってボットの情報を送信します。
http://66.96.248.197/spm/s_alive.php?id=547571586760&tick=3295953&ver=203&smtp=bad
- id 端末ID?
- tick 感染端末のUptime
- ver malwareのバージョン
- smtp ボットがSMTP通信可能かどうか(badかokが入る)
この最後のsmtp通信チェックの部分に失敗があります。このsmtp通信のチェックはmail.google.comに対して行うようですが、HELOメッセージをホスト名抜きで送信するため、MTAからは確実に501応答を返されます。なので常にbadになってしまいます。とりあえずTCP 25へのコネクト確認だけではなくsmtp通信の確認を行っているようですが、100%失敗します。
本来なら次のシーケンスとして、
http://66.96.248.197/spm/s_tasks.php?id=xxxxxx&ver=xxx'
で情報が落ちてくるはずですが、現状は、
Fuck off 1
が返ってきます。量は減ってきましたがこの状態が3ヵ月以上続いていますが成果は上がっているんでしょうか?
その2
2008/9/19 4:00〜5:00、9:00〜13:00に観測されたスパムです。
To: undisclosed-recipients:; Subject: 036e79536a397d77 From: support@mail.com Date: Fri, 19 Sep 2008 12:41:18 +0900 (JST) -------------------------------------------------------------------- Hello World, 036e79536a397d77
ご想像の通りHello Worldの後の文字列には大量のバリエーションが存在します。接続を試みる先は「98.126.8.2」です。ボットのsmtp通信の確認を行うものと見ることもできますが、この前後で特に特別なスパム送信が行われるようになった状況は確認できていません。
その3
2008/7〜2008/9にかけて観測されたspamです。
「多言語spam」に書いたように内容、目的が同じスパムメールが、送信先の国にあわせた言語に翻訳した文面をつけられて、ヨーロッパ数カ国向けに同一の送信者から大量に送信されている状況が観測されていました。このスパムのその後なんですが、突然下記のようなスパムが飛ぶようになりました。
To: xxx@xxx.it Subject: xxxxxxxxxxxxxxxx From: xxx@xxx.com Date: Wed, 10 Sep 2008 11:21:28 +0900 (JST) -------------------------------------------------------------------- xxx.xxx.
のような感じで、文面内の誘導URLにトップレベルドメインがついていませんでした。送信先も文面もヨーロッパ各国の言語バリエーションが存在しましたので、スパム送信ツールのバグで、誘導URLのドメイン情報が正しく付与されていなかったのではないかと思います。失敗ですよね。この状況が2ヶ月ほど続いていました。スパム送信者の契約は成立したんでしょうか?
その4
2008/9〜2008/10に観測されているスパムの誘導URLです。
http://cimail15.$A$A$A.com/XXXXXXXXXX
XXXXXの部分はバリエーションがありますが、「$A$A$A」って失敗ですよね。これはインジェクションでも見つけることがあります。
by jyake