HTTP server CONNECT method used to bypass filtering (HTTP_Connect_Proxy_Bypass_SMTP)
2013.09.25 20:47
1. 공격유형
- 이 시그니쳐는 HTTP CONNECT 명령어를 사용하여 메일서버(Port :25)에 접근하는 것을 탐지 합니다.
2. 특징
- 임의의 사용자가 Proxy Server를 이용하여 메일 서버에 접근하여 스펨메일 발송을 시도 합니다.
- CONNECT 명령어 한 네트워크에서 다른 네트워크의 접속을 거쳐 데이터를 보낼 수 있도록 하는 기능 입니다.
- 이 이벤트는 잘못된 Proxy Server의 설정으로 임의의 사용자가 스펨메일을 보낼 수 있도록 허용할 수 있습니다.
- 이 경우 스펨메일의 보낸 IP 주소가 Proxy Server의 주소가 되기 때문에 해당 IP의 소유자는 불이익을 초래 할 수 있습니다.
3. 대응 사항
- Proxy 기능을 사용하는 장비들이 외부에서 접속이 가능한지 확인 합니다.
- 불필요한 Proxy 기능을 사용하지 않도록 설정합니다.
4. 공격 유형

- 먼저 115.xxx.xxx.xxx 와 111.xxx.xxx.xxx는 Proxy Server을 이용하기 위해, 3128 Port로 접근을 시도 합니다.

- 임의의 사용자는 CONNECT 명령어를 통해 메일 서버로의 접근을 시도 한 후 메일을 보내기 위한 명령어를 입력 하기 시작합니다.
- 패킷을 확인 해보면 사용자가 다양한 메일 서버로 접근하고 있습니다.

- 실제 전송을 시도한 메일 내용이며 quoted-printable 방식으로 decoding를 하면 대략적으로 아래의 내용을 확인 할 수 있습니다.
如無法連結 請點選→這不是垃圾信
《藍光電影》IMAX:哈柏太空之旅
移回至收件匣就可連結
《藍光電影》絕命終結站4 3D<2D+3D>
移回至收件匣就可連結
당신이 연결할 수없는 경우 클릭 해주세요 → 이것은 스팸이 아닌
"블루 레이 영화"맥스 : 허블 우주 여행
링크는받은 편지함으로 다시 이동할 수 있습니다
"블루 레이 영화"최종 목적지 4 3D <2D +3 D>
링크는받은 편지함으로 다시 이동할 수 있습니다.
댓글 0
번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
---|---|---|---|---|
13 |
Apache struts2 RCE(Remote code execution) CVE-2017-5638, S2-045 취약점
![]() | Leekyu | 2017.03.19 | 2260 |
12 |
WordPress 4.7.0/4.7.1 - Unauthenticated Content Injection 취약점
![]() | Leekyu | 2017.02.11 | 12397 |
11 |
Pydio / AjaXplorer 5.0.3 Shell Upload 파일 업로드 취약점
![]() | Leekyu | 2016.08.27 | 927 |
10 |
V2 Conference Video Conference System SQL injection Vulnerability.
![]() | Leekyu | 2016.07.23 | 850 |
9 | Joomla JCE Remote File Upload file (upgrade version) | Leekyu | 2016.04.04 | 3591 |
8 | Exploit Code for ipTIME firmwares < 9.58 RCE with root privileges against 127 router models [1] | Leekyu | 2016.02.18 | 3172 |
7 |
Remote File Inclusion
![]() | Leekyu | 2014.11.09 | 3209 |
6 | JBoss AS Remote Exploit [1] | Leekyu | 2014.09.23 | 2168 |
5 |
구글봇을 이용한 공격
![]() | Leekyu | 2014.04.20 | 6769 |
4 |
Tomcat web application manager exploit
![]() | Leekyu | 2013.10.13 | 4765 |
3 |
Joomla JCE Remote File Upload
![]() | Leekyu | 2013.09.29 | 14612 |
» |
HTTP server CONNECT method used to bypass filtering (HTTP_Connect_Proxy_Bypass_SMTP)
![]() | Leekyu | 2013.09.25 | 18940 |
1 |
Dadong's JSXX 0.41 VIP 난독화
![]() | Leekyu | 2013.07.03 | 870 |