메뉴 건너뛰기

Hello :0

HTTP server CONNECT method used to bypass filtering (HTTP_Connect_Proxy_Bypass_SMTP)

2013.09.25 20:47

Leekyu 조회 수:18940

1. 공격유형
 - 이 시그니쳐는 HTTP CONNECT 명령어를 사용하여 메일서버(Port :25)에 접근하는 것을 탐지 합니다.
 
2. 특징
 - 임의의 사용자가 Proxy Server를 이용하여 메일 서버에 접근하여 스펨메일 발송을 시도 합니다. 
 - CONNECT 명령어 한 네트워크에서 다른 네트워크의 접속을 거쳐 데이터를 보낼 수 있도록 하는 기능 입니다.
 - 이 이벤트는 잘못된 Proxy Server의 설정으로 임의의 사용자가 스펨메일을 보낼 수 있도록 허용할 수 있습니다.
 - 이 경우 스펨메일의 보낸 IP 주소가 Proxy Server의 주소가 되기 때문에 해당 IP의 소유자는 불이익을 초래 할 수 있습니다. 
 
3. 대응 사항
 - Proxy 기능을 사용하는 장비들이 외부에서 접속이 가능한지 확인 합니다.
 - 불필요한 Proxy 기능을 사용하지 않도록 설정합니다.
 
4. 공격 유형
그림1.png
- 먼저 115.xxx.xxx.xxx 와 111.xxx.xxx.xxx는 Proxy Server을 이용하기 위해, 3128 Port로 접근을 시도 합니다.
 
 
통신.png
  - 임의의 사용자는 CONNECT 명령어를 통해 메일 서버로의 접근을 시도 한 후 메일을 보내기 위한 명령어를 입력 하기 시작합니다. 
  - 패킷을 확인 해보면 사용자가 다양한 메일 서버로 접근하고 있습니다. 
 
 
end.png
 - 실제 전송을 시도한 메일 내용이며 quoted-printable 방식으로 decoding를 하면 대략적으로 아래의 내용을 확인 할 수 있습니다. 
 
如無法連結 請點選→這不是垃圾信
《藍光電影》IMAX:哈柏太空之旅
移回至收件匣就可連結
《藍光電影》絕命終結站4 3D<2D+3D>
移回至收件匣就可連結
 
당신이 연결할 수없는 경우 클릭 해주세요 → 이것은 스팸이 아닌
"블루 레이 영화"맥스 : 허블 우주 여행
링크는받은 편지함으로 다시 이동할 수 있습니다
"블루 레이 영화"최종 목적지 4 3D <2D +3 D>
링크는받은 편지함으로 다시 이동할 수 있습니다.
 
 
 
 
이 게시물을
목록
목록
쓰기
태그