IT이야기2013. 9. 17. 13:07

'[국정원]내란음모로 인한 소환서 발부되었습니다 내용확인 rort.??/???'이라는 '스미싱 문자 기사'를 봤다.



apk파일을 받아보려고 'PC 브라우저'에서 접속해봤다. 그런데, '[olleh]스미싱 감염 예방 안내'라는 페이지( http://175.196.95.228/smishing.htm )로 바로 이동해버린다. KT가 스미싱 차단 서비스를 얼마전에 시작했는데, 이게 이통망만 적용한게 아니었다.


[olleh]스미싱 감염 예방 안내

1. 문자에 포함된 인터넷주소가 확실하지 않은 것이면 누르지 마십시오. 다양한 방법으로 유해어플이 설치되어 문자 수신이 안될 수 있습니다.

2. 올레마켓에서 알약(http://olleh.kr/alyac) 또는 올레스미싱차단 앱 등 백신을 다운받아 검사하시면 감염확인 및 치료를 할수 있습니다.

* 휴대폰을 최상의 상태로 유지하기 위하여는 하루에 한번 정도 전원을 껐다 켜 주세요.

다른망을 통해 PC에서 접속해봤는데, 악성 apk 배포 서버가 내려갔는지 접속은 안된다.


아무튼 안드로이드 사용자는 문자에 URL이 포함될 때 주의해야 한다.

1. 스마트폰에서 SMS문자의 URL을 누르지 않는다.
2. 실수로 URL을 눌렀을 때, 어플 설치하라는 메시지가 나오면 절대 설치하지 않는다.
3. URL을 '반드시' 확인해보고 싶다면(실제 지인이 보낸 문자일 가능성이 있을 때) 폰이 아닌 백신이 설치된 PC에서 크롬, 파폭 브라우저로 확인한다.

Posted by 좋은진호

댓글을 달아 주세요

  1. Min

    악성 apk 배포 서버가 내려 간 것은 아닙니다. 단지 kt인터넷 망에서만 차단이 될 쁀이죠. Skt lte로 접속을하니 악성 apk 파일이 다운로드가 되엇습니다. 아직도 skt는 막지 않았다는 거죠.

    2013.09.26 02:48 [ ADDR : EDIT/ DEL : REPLY ]
    • KT망은 '스미싱 차단 서비스'로 인해 차단되어서, 글에도 썼지만 2차적으로 KT가 아닌 다른망에서 접속했습니다. 그래서 해당 html페이지와 .apk파일명까지 확인했지만, 당시에 apk를 배포하는 2차 서버는 접속되지 않았습니다.

      위 스미싱에서 사용한 rort... 도메인은 현재 사라진 상태(DNS trace, whois 모두 확인)입니다. 다른 도메인으로 여러 악성 .apk를 배포하겠지만 말이죠.

      2013.09.28 00:13 신고 [ ADDR : EDIT/ DEL ]

시스템이야기2008. 12. 21. 01:00
스팸 툴에서 사용하는 변수(매크로)가 그대로 노출되서 발송되는 경우가 있다. 2006년 하반기에 '스팸발송기가 깜빡한건가? (스팸메일의 변수들)'라는 제목으로 글을 쓴 적이 있다. 이번달에 또다시 이런 변수들이 섞여진 메일이 눈에 띄어(그 전에도 필터링되었을 것인데, 유독 이번달에 더 띈다.), 해당 변수들을 추가 정리하였다.

3. From: 예 (2008.12)

Return-Path: <JADA{%DIGIT%}{%DIGIT%}@hanmail.net>
... 생략 ...
From: JADA SESSOMS <JADA{%DIGIT%}{%DIGIT%}@hanmail.net>

4. From: 예 (2개, 2008.12)

From {%LFNAME%}{%LLNAME%}34@gmail.com  Fri Dec 19 05:23:02 2008
Return-Path: <{%LFNAME%}{%LLNAME%}34@gmail.com>
... 생략 ...
From: {$FROMNAME$} <{%LFNAME%}{%LLNAME%}34@gmail.com>

From: 이나 Return-Path: 헤더에서 %DIGIT% 에는 발송기가 임의의 숫자를 넣게 된다. %RND_DIGIT[1-3] 와 같은 형식도 있는데, 정규 표현식과 유사(정규표현식에서 {1,3}은 1~3자리를 의미)하게 사용해서 1자리에서 3자리까지 임의의 숫자가 들어가게 될 것이다. 결국 0~9자리의 숫자를 자유롭게 From주소에 넣을 수 있다는 얘기다.

- %RND_FROM_DOMAIN, %CUSTOM_FROM_EMAIL : 임의의 도메인 주소에 해당한다.
- %RND_IP : 임의의 IP주소
- {%MAILSERVERHOSTNAME%} : 서버명만 대체된다. 예) www.foobar.com 에서 www에 해당.
- {%LFNAME%}은 소문자 First Name, {%LLNAME%}은 소문자 Last Name을 추측되며, {$FROMNAME$}는 이름이다.

Subject: 헤더중 %RND_DATE_TIME에는 정상 스팸(?)일 경우 '파일럿 항공자켓 겨울특전~Wed, 21 Dec 2005 07:54:32 -0400' 처럼 날짜가 들어가 있다.

- %RANDOM_WORD : 임의의 단어
- %RNDUCCHAR16 : 임의의 대문자 16자리(숫자는 자리수로 추측된다.), '%RNDLCCHAR+숫자'형태라면 임의의 소문자를 뜻한다.
- %RANDOM_CHAR, %RANDOMCHAR, %RND_LC_CHAR, %RND_UC_CHAR 등의 유형도 있다. (개인적으로 수신한 적 없음)

스팸툴이 위와 같이 다양한 스팸용 변수들을 제공한다는 것은 스패머들에게 조리법(=스팸툴 매뉴얼)만 읽으면, 한두가지의 재료로 다양한 요리를 쉽게 만들어낼 수 있는 요리기구를 제공한 셈이다.
경우에 따라선 정상적인 조리에서는 먹어볼 수 없는 독특한 형태의 요리(=비정상적 헤더)도 만들어낸다. 예를 들어보자. 하나의 스팸메일에서 From:, Return-Path:, Message-ID:, Received: 의 메일주소나 도메인이 각각 다르게도 표시되는 경우가 많다. 이 것은 %RND_FROM_DOMAIN, %CUSTOM_FROM_EMAIL, %CUSTOM_FROM_NAME, %RND_IP 유형의 변수를 함께 사용하여 임의로 생성된 도메인(또는 메일주소)이 동시에 만들어지기 때문이다.

과연 저런 유형의 변수를 사용하는 스팸툴은 어떤 것이 있을까.

인터넷 여러 기술문서에서 확인할 수 있으며, 'Inside the Spam Cartel: Trade Secrets from the Dark Side'(2004년)책에서도 확인할 수 있다. 스팸툴의 이름을 공개하지 않고, 2개 스팸툴 화면만 소개한다.

쉽게 헤더를 변경


다양한 매크로(즉, 글에서 소개한 스팸용 변수)를 제공. 출처 : 책 'Inside the Spam Cartel'



메일과 안티스팸을 주제로 치뤄지는 CEAS 2008 행사(Conference on Email and Anti-Spam)가 있다. 여기서 발표된 'A Survey of Modern Spam Tools'(글 Henry Stern) 문서는 스팸메일의 유형과 변수(매크로)에 대해서 상세히 분석되어 있다.


자세한 글은 커피닉스에 써둔 '스팸발송기가 깜빡한건가? (스팸메일의 변수들)'을 살펴보기 바란다.

Posted by 좋은진호

댓글을 달아 주세요

  1. Brute-force 하게 때려 맞추는 것보다 비효율 적인것은 없지만, 그것보다 확실 한 방법은 없죠.
    정말 저렇게 때려 맞추니 스펨이 안올 수가 없네요... 허허

    2008.12.21 01:29 [ ADDR : EDIT/ DEL : REPLY ]
  2. 알 수 없는 사용자

    스팸메일도 진화하는구나....
    그래도 영어메일은 아예 안온다는

    2008.12.21 12:24 [ ADDR : EDIT/ DEL : REPLY ]
    • 저 스팸툴이 만들어진지 오래됐죠. 진화여부에 대해서는 제글에는 없지만, 창과 방패는 끝없이 발전하고, 싸움은 끝이 없는 듯...

      2008.12.23 08:28 신고 [ ADDR : EDIT/ DEL ]
  3. 아... 스팸툴에 대해서는 첨 알았어요..
    그저 온 메일들만 볼 뿐...
    이렇게 계속 개발하고 막으셔도 진화하는 스패머들의 공격에.. 어려운거 같아요...ㅠㅠ

    2008.12.30 01:42 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 그러게요.
      누구나 쉽게 접근이 가능하여 생태계를 더럽히는 저런 툴이 있다는게 안타갑습니다. 스팸을 양산하는 자들은 정작, 자기집에 쓰레기를 버리면 좋을까요? 요즘 나오는 '우리나라에 버렸습니다'라는 광고가 너무 와닿습니다.

      2008.12.31 02:13 신고 [ ADDR : EDIT/ DEL ]

IT이야기2007. 2. 20. 00:16
우리나라는 지난 2006년 12월에 비해 IP대역 개수는 162개로 그대로이나 순위는 6위로 낮아졌다. 영국이 145개에서 166개로 급증하여 7위에서 5위로 올랐고, 일본은 237개에서 184개로 상당히 낮아졌다.

As at 18 February 2007

Rank     Country     Number of Current Known Spam Issues
1    United States     2062     
2    China         401     
3    Russia         257     
4    Japan         184     
5    United Kingdom     166     
6    South Korea     162     
7    Germany     141     
8    Hong Kong     130     
9    Canada         128     
10    Taiwan         127

다음은 ISP별 순위이다. verizon.com, serverflo.com, xo.com 등이 여전히 자리를 차지하고 있고, rr.com 은 순위에서 빠졌다.

As at 18 February 2007

Rank     Network     Number of Current Known Spam Issues     
1    verizon.com         101     
2    att.net         96     
3    serverflo.com         73     
4    xo.com             40     
5    vsnlinternational.com     35     
6    twtelecom.net         33     
7    yahoo.com         31     
8    hinet.net         29     
9    yipes.com         28     
10    newworldtel.com     27

스팸메일하고는 좀 다른 얘기지만 커피닉스에 스팸글, 댓글, 스팸성 사이트 등록 등이 최근 증가하고 있다. GeoIP로 국가별로 제한할 수도 있지만 해외에서 방문해서 글을 읽는 경우도 있어서 적용하지는 않고 있다. 그러나 rr.com( 76.166.0.0/15 76.168.0.0/13, ...) 등 다양한 곳의 IP대역을 차단하고 있다. 우선은 아래와 같이 한건 한건 차단되는 것을 볼 때마다 뿌듯하다. 앞으로도 꾸준히 추가가 될 것이다. ^^*

Feb 19 17:10:31 ○○○ kernel: Untrust IP: IN=eth0 OUT= MAC=○○○ SRC=66.232.107.234 DST=○○○ LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=35933 PROTO=TCP SPT=3114 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 19 17:10:34 ○○○ kernel: Untrust IP: IN=eth0 OUT= MAC=○○○ SRC=66.232.107.234 DST=○○○ LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=36085 PROTO=TCP SPT=3114 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0

* 스팸하우스(spamhaus) 통계, 스팸발송국 순위 ( 2006.12.3 )
* Spamhaus TOP 10 Spam Origin Countries

Posted by 좋은진호

댓글을 달아 주세요