V našich datech jsme shromáždili více než 120 milionů e-mailových zpráv doručených botnety se škodlivými odkazy.
February 24, 2020
Virusfree.cz se neustále pokouší porozumět současným hrozbám a zlepšit naši detekci. Za tímto účelem provozujeme několik služeb, o kterých naši klienti pravděpodobně nikdy nevěděli, že existují. Nedávno jsme analyzovali odkazy URL ve zprávách, které se botnety snaží doručit za poslední měsíc.
V našich datech jsme shromáždili více než 120 milionů e-mailových zpráv doručených botnety se škodlivými odkazy jakéhokoli druhu. Interval vzorkování byl mezi 19. lednem 2020 a 17. únorem 2020. | |
Identifikovali jsme odesílající adresy IP. Existují stovky IP adres, které se pokusily odeslat pouze jednu zprávu, a 7 IP adres, které poslaly více než 100 000 zpráv. | |
Při analýze obsahu URL jsme pochopili, že ze všech více než 120 milionů zpráv vidíme asi 108 tisíc jedinečných odkazů URL. |
Pojďme to všechno rozebrat. Adresy URL v datovém souboru mohou být seskupeny podle podobností a pouhým pohledem na strukturu adres URL jsme našli velkou skupinu položek adres URL, která upoutala naši pozornost. Tento typ struktury měl většinu v celém datovém souboru - více než 94 milionů záznamů, téměř 79%, ale pouze 10032 jedinečných odkazů na URL, což je méně než 10% z celého objemu.
Procházením těchto odkazů, z nichž asi 30% již bylo neaktivní (provozovatel stránek odstranil soubory), jsme zjistili, že velikost souboru sotva přesahuje 200 bajtů. Obsah souborů zachovává stejnou strukturu.
Hodnota parametru URL v souboru je proměnná, směřující URL může také obsahovat parametry, subdomény atd. Konečný seznam cílových domén obsahuje pouze 15 položek (první sloupec představuje počet výskytů):
4614 | t500track3[..]com |
626 | your-prizes-here[..]com |
424 | yummyplaymatesfinder[..]com |
367 | royalmagicvip[..]com |
293 | royalboomcas[..]com |
176 | newmedsdeal[..]eu |
137 | helper-cbd[..]world |
136 | yourdatingstores1[..]com |
109 | win-big-bonus12[..]com |
81 | gambling[..]pro |
67 | curingcaretrade[..]eu |
57 | prize-outlet4[..]life |
3 | fokefoto[..]vip |
1 | hookupdate365[..]com |
1 | datinglocator24[..]com |
Jak již vidíme, počáteční stav více než 94 milionů položek souvisejících s jedinou strukturou URL se zmenší na pouhých 15 skutečných domén, které útočník používá.
PS: Ze zbývajících 25 milionů položek, nejméně 13 milionů směřuje (různými prostředky, jako například URL zkracování, přesměrování nebo přímo) na některé z výše uvedených domén.
Tyto stránky používají cookies za účelem lepšího komfortu jejich prohlížení. Kliknutím na "Potvrdit" souhlasíte s jejich použitím. Přečíst více o cookies.