120 milionů spamových zpráv směřujících do 15 domén

February 24, 2020

Virusfree.cz se neustále pokouší porozumět současným hrozbám a zlepšit naši detekci. Za tímto účelem provozujeme několik služeb, o kterých naši klienti pravděpodobně nikdy nevěděli, že existují. Nedávno jsme analyzovali odkazy URL ve zprávách, které se botnety snaží doručit za poslední měsíc.

	V našich datech jsme shromáždili více než 120 milionů e-mailových zpráv doručených botnety se škodlivými odkazy jakéhokoli druhu. Interval vzorkování byl mezi 19. lednem 2020 a 17. únorem 2020.
	Identifikovali jsme odesílající adresy IP. Existují stovky IP adres, které se pokusily odeslat pouze jednu zprávu, a 7 IP adres, které poslaly více než 100 000 zpráv.
	Při analýze obsahu URL jsme pochopili, že ze všech více než 120 milionů zpráv vidíme asi 108 tisíc jedinečných odkazů URL.

Pojďme to všechno rozebrat. Adresy URL v datovém souboru mohou být seskupeny podle podobností a pouhým pohledem na strukturu adres URL jsme našli velkou skupinu položek adres URL, která upoutala naši pozornost. Tento typ struktury měl většinu v celém datovém souboru - více než 94 milionů záznamů, téměř 79%, ale pouze 10032 jedinečných odkazů na URL, což je méně než 10% z celého objemu.

Procházením těchto odkazů, z nichž asi 30% již bylo neaktivní (provozovatel stránek odstranil soubory), jsme zjistili, že velikost souboru sotva přesahuje 200 bajtů. Obsah souborů zachovává stejnou strukturu.

Hodnota parametru URL v souboru je proměnná, směřující URL může také obsahovat parametry, subdomény atd. Konečný seznam cílových domén obsahuje pouze 15 položek (první sloupec představuje počet výskytů):

Jak již vidíme, počáteční stav více než 94 milionů položek souvisejících s jedinou strukturou URL se zmenší na pouhých 15 skutečných domén, které útočník používá.

PS: Ze zbývajících 25 milionů položek, nejméně 13 milionů směřuje (různými prostředky, jako například URL zkracování, přesměrování nebo přímo) na některé z výše uvedených domén.