974
深入分析:Onliner SpamBot7.11億電郵賬號泄露事件
前言
日前,安全研究人員在某個網站目錄上發現了高達7.11億個電子郵箱帳號,其中包括電子郵件的地址、密碼和SMTP郵件服務器。這些資料目前已被一個名為“Onliner Spambot”機器人程序利用來發送含有銀行木馬程序的垃圾郵件。使用垃圾郵件來散布惡意軟件早已不是新聞,而且現在的電子郵件已經能過濾掉絕大部分的垃圾郵件了,但Onliner Spambot的手段更為高明。攻擊者搜集數千個SMTP服務器及傳輸端口的登入數據,借此躲過垃圾郵件係統過濾,以發送電子郵件。獨立網絡安全研究員特洛伊·亨特(Troy Hunt)就此次事件進行深入分析——
巨量郵箱被泄漏
我上周被告知互聯網上出現一個垃圾郵件列表。這個列表中記錄的垃圾郵件是有史以來我見過最長的,超過了之前臭名昭著的垃圾郵件組織“River City Media” (RCM)的3.93億個電子郵箱的記錄。這些被曝光的電子郵箱我已經放到了HIBP網站上(注HIBP網站,全稱“Have I Been Pwned?Reports”,網址https://haveibeenpwned.com/,在該網站輸入你的郵箱或者其他社交賬號就可以查看是否被入侵)。這是我目前放到該網站上最大的電郵記錄了。被曝光的電郵的數量相當於歐洲所有人口電郵的總和。在這裏我和大家分享此次事件的始末。
首先,被曝光在網上的這批電子郵箱名單是一位名為Benkow moʞuƎq的法國研究人員首先在某個網站目錄發現到的數筆資料之一,其中還包含電郵地址、密碼及用以發送垃圾郵件的SMTP郵件服務器。Benkow指出這批數據已經被一隻名為Onliner Spambot的電郵機器人程序用來發送垃圾郵件,並告訴我了泄露這批電郵的IP地址:
為防止數據進一步泄露,我將部分信息做模煳處理,因為在我寫這篇文章時,這個網址仍然可以訪問。泄露電郵的IP地址位於荷蘭。我和Benkow正在試圖通過合法途徑聯係該網站的管理者,促其關閉這個網站。直到網站關閉前,我不會曝光上述電郵地址。
泄漏郵箱的分析
Benkow已經發布了一篇關於此次事件的報告,非常值得一讀(報告題為From Onliner Spambot to Millions of)。我在這裏想講述的是我對此次事件的認識和看法,因為會有很多人在HIBP網站上發現自己的電郵及個人信息被曝光。如果沒有時間閱讀Benkow的文章,你需要明確以下兩點:
電子郵箱地址。目前有數以萬計的個人電郵被用來發送垃圾郵件。有時,垃圾郵件事件中就會涉及千萬個,甚至是幾億個電郵。
電子郵箱地址及其密碼。Benkow指出不法分子會利用得到的電子郵箱地址和密碼濫用你的SMTP郵件服務器發送垃圾郵件。
告訴大家一個不幸的消息,我的電郵地址也曾經被濫用以發送垃圾郵件,而且被濫用了2次:
在泄露的文件中,第一個文件包含14GB的信息,第二個文件則包含131MB的信息。大多數情況下,泄露的數據包都是這樣一大一小。如圖1所示,你可以看出被泄露的電郵後綴隻出現過“UK”和“AU”。文件中沒有再出現其他代表國家的後綴信息了。
其中還有一個以“NewFile_”為前綴的文件。該文件包含4.3萬行澳大利亞道路與海事服務處(Roads and Maritime Services)的郵箱。
郵箱地址中的每行都包含RMSETollDontReply@rms.nsw.gov.au,之後是“support@”,並加以“.com.au”的後綴。
這一電子郵箱是用於發送與汽車擋風玻璃上安裝的“電子標簽”設備有關的通知,以便你支付相關費用。我之前也收到過類似郵件:
仔細觀察上述從澳大利亞道路與海事服務處郵箱發出的郵件你就會發現問題。原來這4.3萬行郵件中的名稱都是自動生成的,而郵箱地址自動生成模式與上個月我放在HIBP網站上的 the B2B USA Businesses垃圾郵件類似。
泄露的郵箱還包括
Employees-bringing-in-their-own-electrical-appliances.htmlmark.cornish@bowelcanceruk.org.uk 。
第一個郵箱泄露文件中包含我的電郵地址。你也許會問我為什麼要公開別人的郵箱地址,那是因為這些已經被曝光在網上了:
但是,在數據包中你會發現郵箱地址的前麵會有一長串的前綴,據分析應該是HTML文件名,或表示電郵地址已經從互聯網上抹去。因此,所謂7.11億個郵箱地址可能隻是一個虛數,真正被控製和濫用的電郵可能小於這個數字。
郵箱密碼分析
下麵,我們來探討一下電郵密碼。其中,一個文件以數字形式命名,並包含120萬行數據:
研究顯示,隨機從HIBP網站上挑選出來的被泄露的郵箱地址均屬此前LinkedIn用戶資料泄露事件中的郵箱地址。這一點值得探究,假設LinkedIn資料外泄事件是此次泄露事件的源頭,那麼郵箱的密碼就是此前被曝光的使用的哈希函數算法(不加鹽)。但這僅僅是泄露郵箱中的一小部分。
一份類似的文件(擁有相似的命名結構)包含了420萬電郵帳號和密碼,每個帳號這一次都曾在“ the massive Exploit.In combo list”中出現過。這應該能夠幫助你了解到,這些數據一旦進入公有領域,是如何不斷被重新分配的。
其他文件擁有與之持平,甚至更多的賬密數量。其中一份文件擁有2900萬行電郵帳號和密碼,前者一直在HIBP網站列表中,即使前兩個例子中並未出現特殊的數據泄露情況。另一份文件的命名方式比較馬虎,能看出是澳大利亞地址,且都為真實名稱。該數據包含1250萬行,意味著該國每2個人中就有一人的郵箱遭到泄露。其中的很大一部分未出現在HIBP網站上,包含了379000個以.gov.au結尾的帳號,看起來混雜了合法、虛假和改編帳號。
還有另一個文件包含了超過3000條記錄,涵蓋電郵帳號和密碼,SMTP服務器以及端口等內容(25和587都是常見SMTP端口):
這也體現除了數據的價值:數千個有效SMTP帳戶提供給垃圾郵件發送者一個不小的郵件服務器選擇範圍,用於發送他們的郵件。這裏還有許多與之類似的文件;另一個包含了142000個電郵帳號和密碼,SMTP服務器及端口。
還有一些數據中包含了大量的信息,例如,一份文件包含了2000萬行俄語電郵。上述郵箱地址中還包含SQL的文件名,如下圖所示:
總結
數據還有很長。電子郵件地址和密碼,以及SMTP服務器和端口分布在數萬GB的文件中。在二年半的時間裏,“HIBP 110數據泄露”共累積了7億1100萬個地址,其中很多都集中在一個地方。這是一個令人難以置信的數據量。
上麵的例子並不完全詳盡,隻是用於說明數據的多樣性。這些例子幫助解釋了大量的數據記錄,以及我不可避免的反應“有些地址是不真實的”。其同樣說明數據的來源有多麼廣泛,以及雖然不幸發現自己在這個數據集中,卻未能深入了解你的電子郵件地址是從哪裏被獲得的,或者能做什麼進行防範。
我們不得不麵對這樣一個不爭的事實,那就是我們的電子郵箱已經淪為一個商品,被人分享、交易甚至是濫用。不法分子利用我們的郵箱發送成千上萬條垃圾郵件——這就是今天的互聯網。
我已經將7.11億個泄露的電郵發布在了HIBP網站上。基於安全考慮,我並未公布包含上述數據的文件名及目錄位置,也沒有公布郵箱的密碼。
如果你為自己包括電郵在內的所有網絡賬戶設置了強大的,不易被攻破的密碼,並且設置了多重驗證手段,那麼我自然不用為你的網絡賬戶安全擔心。如果你沒有做到這些,希望此次泄露事件能為你敲響警鍾!
本文作者:紫曦歸來
來源:51CTO
最後更新:2017-11-03 14:34:01