phplist v2.10.4を利用したスパム
Published: 2008/10/25
最近多く観測されているスパムの一つにこのようなものがあります。
このスパムの目的は、以前から飽きるほど見ている「Canadian Pharmacy」の新しい手法です。
一番下の
To unsubscribe press here
をクリックすると下のようなサイトに飛ばされます。
このリンク部分は徐々に変化していてここ数日は今の形になっていますが、9月頃は複数のリンクが載せられていることがありましたが結果は同じです。またクリック時のURLもそれらしいURLになってます。
fireoften.com/remove.php?email=***@***.net&messageid=0233a13165f5 flowcourse.com/?email=***@***.net&messageid=0986312f3551 www.pairsure.com/manage.asp?mail=***@***.org&key=873316d36d3546 www.pairsure.com/privacy.asp?mail=***@***.org&key=673d3ece383d23 www.pairsure.com/unsubscribe.asp?mail=***@***.org&key=e043953f5333f4 muchread.com/manage/opt-out?usr=***@***.net&access=5434C397132036092DFB
どれをクリックしても上記のページに飛ぶだけなのですが、URL中に埋め込まれているkeyや自分のメールアドレスは見た目を正しいリクエストに見せかけるだけのものなのか、クリック履歴を通知することも兼ねているのかは不明です。
URLに利用されるドメインの使い方も最近の典型で、観測されているものだけで日に30〜100程度新規のドメイン作られています。また7日から10日でAレコードの登録がなくなり使い捨てられます。一部のドメインは最初から、もしくは一時間未満でAレコードがなくなりますが、これはおとりかもしれません。(ただの失敗かもしれませんが)
使われたドメインの一部です。
www.fractionharmony.com www.untileither.com www.trustenough.com www.spellresolution.com www.mapresolution.com www.sentencefraction.com www.momentlove.com www.protectthree.com www.lakefraction.com www.hardfresh.com www.couragecommon.com www.independencelike.com www.multiplyend.com www.chiefterm.com www.aspirationtold.com www.pitchshape.com www.strengthfly.com www.forgivenesslove.com www.valueprogress.com www.aspirationplural.com www.advocacyteeth.com advocacytube.com dropscale.com observereceive.com www.catchpopulate.com practicemother.com
ドメイン取得は中国のレジストラを数社渡り歩いています。そして取得から1〜3日以内に使用開始されます。これも最近の典型的パターン。
Domain Name: FIREOFTEN.COM Registrar: XIN NET TECHNOLOGY CORPORATION Whois Server: whois.paycenter.com.cn Referral URL: http://www.xinnet.com Name Server: DNS1.PLANMEAT.COM Name Server: DNS2.PLANMEAT.COM Status: ok Updated Date: 23-oct-2008 Creation Date: 23-oct-2008 Expiration Date: 23-oct-2009
典型的な手法を用いていますがIPアドレスが固定という穴もあります。
58.20.154.161(AS4837)
inetnum: 58.20.0.0 - 58.20.255.255 netname: CNCGROUP-HN descr: CNC Group HuNan province network descr: China Network Communications Group Corporation descr: No.156,Fu-Xing-Men-Nei Street, descr: Beijing 100031 country: CN
このIPアドレスは一部のDNSBL、URIBLに登録されていますのでこのリストをURIBLとして利用して文中のURLの正引きをチェックできればブロックできるかもしれません。ただし、酷似している?SQLインジェクションのパターンのようにIPアドレスも短期間で変更なるかもしれません。
またメール的な特徴は表題にも書いた以下のヘッダー部分です。
X-Mailer: PHPMailer [version 1.73] X-Mailer: phplist v2.10.4
Web上で運用できるメーリングリスト管理ソフトなので、これそのものが悪いとは言い切れませんが、管理するメールサーバーのポリシー、量があまりにも多い場合は、このヘッダーを利用してスコアをあげるなりブロックしてしまうなりすることが一番効果的になるかもしれません。
by jyake