시스템이야기2008. 12. 21. 01:00
스팸 툴에서 사용하는 변수(매크로)가 그대로 노출되서 발송되는 경우가 있다. 2006년 하반기에 '스팸발송기가 깜빡한건가? (스팸메일의 변수들)'라는 제목으로 글을 쓴 적이 있다. 이번달에 또다시 이런 변수들이 섞여진 메일이 눈에 띄어(그 전에도 필터링되었을 것인데, 유독 이번달에 더 띈다.), 해당 변수들을 추가 정리하였다.

3. From: 예 (2008.12)

Return-Path: <JADA{%DIGIT%}{%DIGIT%}@hanmail.net>
... 생략 ...
From: JADA SESSOMS <JADA{%DIGIT%}{%DIGIT%}@hanmail.net>

4. From: 예 (2개, 2008.12)

From {%LFNAME%}{%LLNAME%}34@gmail.com  Fri Dec 19 05:23:02 2008
Return-Path: <{%LFNAME%}{%LLNAME%}34@gmail.com>
... 생략 ...
From: {$FROMNAME$} <{%LFNAME%}{%LLNAME%}34@gmail.com>

From: 이나 Return-Path: 헤더에서 %DIGIT% 에는 발송기가 임의의 숫자를 넣게 된다. %RND_DIGIT[1-3] 와 같은 형식도 있는데, 정규 표현식과 유사(정규표현식에서 {1,3}은 1~3자리를 의미)하게 사용해서 1자리에서 3자리까지 임의의 숫자가 들어가게 될 것이다. 결국 0~9자리의 숫자를 자유롭게 From주소에 넣을 수 있다는 얘기다.

- %RND_FROM_DOMAIN, %CUSTOM_FROM_EMAIL : 임의의 도메인 주소에 해당한다.
- %RND_IP : 임의의 IP주소
- {%MAILSERVERHOSTNAME%} : 서버명만 대체된다. 예) www.foobar.com 에서 www에 해당.
- {%LFNAME%}은 소문자 First Name, {%LLNAME%}은 소문자 Last Name을 추측되며, {$FROMNAME$}는 이름이다.

Subject: 헤더중 %RND_DATE_TIME에는 정상 스팸(?)일 경우 '파일럿 항공자켓 겨울특전~Wed, 21 Dec 2005 07:54:32 -0400' 처럼 날짜가 들어가 있다.

- %RANDOM_WORD : 임의의 단어
- %RNDUCCHAR16 : 임의의 대문자 16자리(숫자는 자리수로 추측된다.), '%RNDLCCHAR+숫자'형태라면 임의의 소문자를 뜻한다.
- %RANDOM_CHAR, %RANDOMCHAR, %RND_LC_CHAR, %RND_UC_CHAR 등의 유형도 있다. (개인적으로 수신한 적 없음)

스팸툴이 위와 같이 다양한 스팸용 변수들을 제공한다는 것은 스패머들에게 조리법(=스팸툴 매뉴얼)만 읽으면, 한두가지의 재료로 다양한 요리를 쉽게 만들어낼 수 있는 요리기구를 제공한 셈이다.
경우에 따라선 정상적인 조리에서는 먹어볼 수 없는 독특한 형태의 요리(=비정상적 헤더)도 만들어낸다. 예를 들어보자. 하나의 스팸메일에서 From:, Return-Path:, Message-ID:, Received: 의 메일주소나 도메인이 각각 다르게도 표시되는 경우가 많다. 이 것은 %RND_FROM_DOMAIN, %CUSTOM_FROM_EMAIL, %CUSTOM_FROM_NAME, %RND_IP 유형의 변수를 함께 사용하여 임의로 생성된 도메인(또는 메일주소)이 동시에 만들어지기 때문이다.

과연 저런 유형의 변수를 사용하는 스팸툴은 어떤 것이 있을까.

인터넷 여러 기술문서에서 확인할 수 있으며, 'Inside the Spam Cartel: Trade Secrets from the Dark Side'(2004년)책에서도 확인할 수 있다. 스팸툴의 이름을 공개하지 않고, 2개 스팸툴 화면만 소개한다.

쉽게 헤더를 변경


다양한 매크로(즉, 글에서 소개한 스팸용 변수)를 제공. 출처 : 책 'Inside the Spam Cartel'



메일과 안티스팸을 주제로 치뤄지는 CEAS 2008 행사(Conference on Email and Anti-Spam)가 있다. 여기서 발표된 'A Survey of Modern Spam Tools'(글 Henry Stern) 문서는 스팸메일의 유형과 변수(매크로)에 대해서 상세히 분석되어 있다.


자세한 글은 커피닉스에 써둔 '스팸발송기가 깜빡한건가? (스팸메일의 변수들)'을 살펴보기 바란다.

Posted by 좋은진호
IT이야기2007. 8. 1. 18:36
* 분석 기간 : 2007.6.03(일) 04:00 ~ 7.01(일) 04:00 (4주, 28일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 35,512건 (1일 평균 1,268건)

지난달과는 달이 이번달은 4주간의 웜·바이러스 메일 건수를 분석했다. 1일 평균 1,268건은 5월의 1일 평균 3,293건과 4월의 1,548건, 3월의 1,785건 등에 비해서 상당히 건수가 감소한 것으로 5월과 비교하면 무려 62%나 감소한 것이다. 주 원인은 지난달에 비정상적(?)으로 늘어난 Bagz웜(지난달에 77.13% 차지)이 여전히 1위이기는 하지만 비율이 42.43%로 감소했기 때문이다. 뒤를 이어 Bagle웜이 37.93%, SomeFool웜이 6.30%, Mytob웜이 4.36% 순이다. 그 외의 특징은 Email.Phishing과 HTML.Phishing이 증가했다는 것.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 6월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
IT이야기2007. 6. 16. 02:46
* 분석 기간 : 2007.5.18(금) 04:00 ~ 5.28(월) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 32,395건 (1일 평균 3,239건)

이번달은 로그를 따로 보관하지 않아 메일로그 기간이 지난달보다 며칠 늦었다. 앞으로는 해당월의 2주간 또는 4주간을 분석하고, 더 나아가 해당월 전체 메일을 통해 분석 결과를 담워볼 생각이다.
5월의 웜·바이러스 메일 건수는 지난달의 15,477건에 비해 무려 109%가 증가했다. 이런 증가의 원인은 24,987건으로 77.13% 차지한 Bagz웜이다. 그 뒤에 14.21%의 Bagle웜이고, 이 둘이 90%이상 독식하고 있다. 이 숫자는 한국의 검색시장의 비율을 보는 것 같다. (참고 : http://pds4.egloos.com/pds/200706/11/30/a0000030_02065174.jpg ). 그 뒤로 SomeFool, Mytob 등으로 순위는 지난달과 같다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 5월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 4. 24. 22:49
* 분석 기간 : 2007.4.14(토) 04:00 ~ 4.24(화) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 15,477건 (1일 평균 1,548건)

올해들어 4번째 분석결과이다. 연말까지 꾸준히 분석할 수 있기를 바라며 또 한번 분석해보자.
4월의 웜·바이러스 메일 건수는 지난달의 17,854건에 비해 약 14%가 감소했다.
웜별로는 Bagz웜, Bagle웜의 강세는 여전하다. Bagz웜은 지난달 23.95%에서 4월에 무려 49.82%로 사과의 반토막을 혼자 잘라 먹어버렸다. Bagle웜은 지난달 34.83%에서 34.89%로 비슷한 수준으로 여전히 강자의 자리를 차지하고 있다. 그 뒤로 SomeFool웜이 6.46%, Mytob웜이 3.53%를 차지한다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 4월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 3. 26. 12:21
지난 2월 분석결과에 이어 3월의 10일간 로그를 분석했다.
 
* 분석 기간 : 2007.3.14(수) 04:00 ~ 3.24(토) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 17,854건 (1일 평균 1,785건)
 
2월에는 Bagle웜이 40.28%, Bagz웜이 35.01%, SomeFool웜이 7.08%로 Bagz웜의 활약(?)이 돋보였으며, 이번달에는 Bagle웜이 34.83%, Bagz웜이 23.95%로 여전히 꾸준한 모습이고 Virut.A가 21.51%로 눈에 띄는 증가를 보였다. 시간대별로는 오후 4시 이후부터 매시간 5%이상의 비율을 차지했으며, 특히 11시대에는 무려 8.17%나 됐다. 연속 3달간의 통계를 살펴보니 흥미롭게도 1월 10일간 건 18,719건, 2월 10일간 18,396건, 그리고 이번달에 17,854건 등 건수 변화가 많지 않고 꾸준히 웜·바이러스 메일을 들어오고 있음을 확인할 수 있다. 영화 '누가 그녀와 잤을까'에서 '6.25가 왜 일어났는지 아세요? 방심해서요.'라는 대화가 생각난다. 웜·바이러스가 꾸준히 활동하고 있으니 늘 조심하라.
 
자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 3월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 3. 2. 16:06
1년전부터 메일로그를 통해 웜·바이러스메일(이하 웜메일로 표기)의 건수와 비율을 분석해왔다.
본인의 서버는 어떤 비율의 웜메일이 들어오는지 궁금한가? 우선 메일서버에 ClamAV를 설치하고, maillog를 남겨라. 그 maillog를 분석하면 된다. 분석하기가 어렵다? 저에게 얘기하면 간단한 쉘 스크립트를 제공하겠다. 단, 반드시 분석결과를 공개해야 한다. ^^*

* 분석 기간 : 2007.2.16(금) 04:00 ~ 2.26(월) 04:00 (10일간), 설연휴 포함
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 18,396건 (1일 평균 1,839건)

1월에는 Bagle웜이 50.27%, W32.Virut.A가 12.10%, Bagz웜이 11.32%를 차지했다. 이번에는 Bagle웜이 40.28%, Bagz웜이 35.01%, SomeFool웜이 7.08%로 Bagz웜의 활약(?)이 돋보인다.
KRCERT( http://www.krcert.or.kr/ ) 에서 발표한 '2007년 01월 해킹 바이러스 통계 및 분석 월보'의 '주요 웜·바이러스별 신고현황'에서도 1위가 Bagle, 2위가 Bagz이었다.
시간대별로는 1월에는 출근시간 이후인 오전 8~10시 사이의 비율이 높았으나, 이번에는 출근시간 이후에 밤시간대까지 4% 이상의 비슷한 비율을 유지했고, 20시대에만 7.84%의 높은 비율을 보였다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 2월) 을 살펴보기 바란다.
사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 2. 22. 23:04

* 분석 기간 : 2007.1.14(일) 04:00 ~ 1.24(수) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준 (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 18,719건 (1일 평균 1,872건)


작년 1월, 2월에는 SomeFool(Netsky웜)과 Mytob 웜이 50%이상, Exploit.HTML.IFrame 이 약 20%를 차지했으나, 이번 기간동안 웜별로는 Bagle웜이 50.27%, W32.Virut.A가 12.10%, Bagz웜이 11.32%를 차지했다. 시간대별로는 이전과 같이 출근시간 이후인 오전 8~10시 사이에 26.61%로 높은 비율을 차지했다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 1월) 을 살펴보기 바란다.
사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호