垃圾邮件服务器数据泄露 惊现7亿条邮件地址数据 暴露了Onliner垃圾邮件黑产

近日，来自巴黎的恶意软件研究人员Benkow发现，一台服务器因配置不当，被Onliner 垃圾邮件 僵尸程序（Spambot）入侵并利用，入侵的服务器中存有7亿多条数据供Onliner使用，包括大量的邮件地址、密码和SMTP配置。随后，研究人员Troy Hunt将这些数据添加到了自己的“Have I Been Pwned (HIBP)”网站及服务中。

Onliner垃圾邮件服务器数据泄露

对涉事服务器进行追踪，发现其IP地址位于荷兰。Hunt在昨天的博文中写道，

“我和Benkow联系到了当地一位可靠人士，他正同执法部门沟通，以尽快关闭该服务器。”

然而，因为该数据库在网上可以公开访问，可能其他攻击者已访问并下载了相关数据。Fidelis网络安全公司威胁情报主管John Bambenek认为，

“以为其他犯罪分子或垃圾邮件团伙还没有获取这些信息，这是很天真的想法，因为这些信息对于这类人来说太重要了。

人难免犯错，正因为如此，非常有必要建立数据集，对人类活动进行长期监控和追踪。这些错误数据有助于抓获黑客，将其绳之以法。”

Onliner垃圾邮件黑产也会入侵大量网站 也有精准营销技术手段

Benkow在自己的博文中提到，虽然Outliner有大量潜在目标，但该程序主要用于定向攻击。

“最迟自2016年起，Outliner开始用于传播 Ursnif银行木马 。我发现它针对的是一些特定国家如意大利或特定行业如酒店业。”

他表示，使用这种定向方法的其中一个原因是，在过去几年间，开发和部署了许多性能更优的垃圾邮件检测和预防技术，多数用于垃圾邮件分发的开放式中继被拉入了黑名单。这样，攻击者首先需要入侵大量网站（Benkow认为数量在10,000~20,000之间），再植入PHP脚本，发送邮件。考虑到“网络上的过期网站不计其数”，他认为，

“很难将每个网站都加入黑名单，因此利用它们发送垃圾邮件易如反掌。”

传播恶意软件时用到的邮件目标并非随机选取，而是经过精心设计。攻击者先使用Outliner发送看似安全的邮件。Benkow举了下面一个例子：

“嗨，状元{朋友|冠军\粉丝}！{你好！|今天过得怎么样？}

{我叫|是}Natalia。你相信{宿命|命运}吗？

爱和希望如影随形。{抱歉|请原谅}，我的英语不好，但我希望你能{理解|明白}……”

糟糕的是，邮件包含一个隐藏的单像素GIF图片，用于记录接收设备的特征。Benkow解释道，

“一旦你打开这样的垃圾邮件，程序就会向该GIF的服务器请求获取你的IP地址和User-Agent信息。

利用这些信息，攻击者就能知道你打开邮件的时间、地点和设备（iPhone？Outlook？……）。

同时，请求还让攻击者知道，邮件有效，因为有人确实打开了邮件。”

这些信息足以让攻击者定位目标。用这种方法，能减少用于传播恶意软件的垃圾邮件实际发送量，更有针对性（例如，可以避免将Windows恶意软件发送到iPhone设备中），防止攻击引起执法部门的注意。

Benkow认为，安全人员应该花更多的时间分析垃圾邮件发送者和Spambot。他写道，

“成功的网络犯罪行动有多个部分，最终的内容很重要，但垃圾邮件通信过程同样重要。

Locky病毒 之类的恶意软件攻击之所以成功，也是因为垃圾邮件发挥了作用。”

7.11亿条邮件地址及相关数据

同时，Troy Hunt对Outliner数据做了分析。从数量上看，数据库共有7.11亿条数据，几乎与欧洲人口总数一样多。数据库里有“海量的邮件地址”（作为垃圾邮件目标）以及邮件账号/密码组合（可利用用户的SMTP服务器发送垃圾邮件）。

并非所有的数据都可以直接拿来用。Hunt分析，“有些数据没有充分解析，我估计是从网上抓取的，例如，Employees-bringing-in-their-own-electrical-appliances.htmlmark.cornish@bowelcanceruk.org.uk这个地址出现了两次。”

其中一个文件有120万行， 似乎是从LinkedIn窃取的邮件账号和密码，密码是明文格式。“所有那些密码【LinkedIn中泄露的密码】都是SHA1哈希（没加盐），”他说，

“所以，很可能数据库中1.64亿个地址中只有一小部分是这样，密码可以破解。”

他还提到，有一个类似文件包含 420万个邮件账号和密码对 ，几乎可以肯定来自于Exploit.In。

“这下你明白了吧，我们的数据只要曾经出现在公网，就会被到处传播。”

另一个文件包含3000条记录， 包括邮件地址、密码、SMTP服务器和端口。他补充道，

“数据的价值不言而喻。成千上万个有效SMTP账号为攻击者提供了大量的邮件服务器，可以用来发送垃圾邮件。这样的文件有不少，其中有一个包含142,000条邮件地址、密码、SMTP服务器和端口。”

他表示，对于所有人来说，不幸的现实是“邮件地址成为了可以随意共享、交易的商品，被坏人无耻利用，向我们发送各种垃圾邮件，从伟哥推销到承诺分享尼日利亚王子的财富不一而足。这就是今天的网络生活。”

这只是传统的垃圾邮件攻击。Benkow对Onliner传播恶意软件尤其是Ursnif进行了追踪。据信，全球约有10万台计算机受到感染。

目前这笔数据在haveibeenpwned网站上已经有效

原文发布时间：2017年9月1日 

本文由：securityWeek发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/onliner-dark-industry

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站