看起來平淡無奇,檢查超連結也沒有異常,不過就是一封垃圾郵件吧!
開啟連結畫面(危險動作:點選郵件連結及開啟郵件附件都是危險動作):
懂些電腦的,應該可以看出異常處,但一般人呢?
不攻擊漏洞,純粹用點混淆、欺瞞手法才是攻擊最高招~~
就像魔術一樣,不懂魔術手法的人,只能看好戲~~XD
我當然不能這樣就放過它,要給它剖析一下...
先看一下郵件標題(Header):
Microsoft Mail Internet Headers Version 2.0
Received: from 200.net88.skekraft.net ([213.199.88.200]) by my.mailserver.com with Microsoft SMTPSVC(x.x.xx.xx);
Fri, 18 Jul 2008 10:26:23 +0800
MIME-version: 1.0
Content-type: multipart/alternative;
boundary="Boundary_(ID_xslUrQTXLNHhh8epXfAVQH)"
Message-id: <1F012145-4DF2-0768-4915-28014035C24A@tweet-garot.com>
From: Halchakar
To: support@mailserver.com
Subject: Alligator attack savages 3 students on school trip
Date: Fri, 18 Jul 2008 04:26:25 +0200
X-Mailer: Apple Mail (2.924)
Return-Path: tmmatsre@tweet-garot.com
X-OriginalArrivalTime: 18 Jul 2008 02:26:24.0077 (UTC) FILETIME=[AC62C7D0:01C8E87D]
--Boundary_(ID_xslUrQTXLNHhh8epXfAVQH)
Content-type: text/plain; charset=UTF-8; format=flowed
Content-transfer-encoding: 7BIT
--Boundary_(ID_xslUrQTXLNHhh8epXfAVQH)
Content-type: text/html; charset=UTF-8
Content-transfer-encoding: 7BIT
--Boundary_(ID_xslUrQTXLNHhh8epXfAVQH)--
寄件信箱-tmmatsre@tweet-garot.com,信箱網域確實存在但沒該帳號信箱,通常寄件者幾乎都是假的。
Hostname mail.tweet-garot.com
MX Priority 10
Results 220 barracuda.tweet-garot.com ESMTP d5a48418eea1c05ff8ac9d4ec4eca22e
Hostname backup-mx.choiceone.net
MX Priority 20
Results 220 bmx002.onecommunications.net ESMTP
寄件IP-213.199.88.200,在瑞典。
City Skellefteå
State/Region 23
Zipcode
Area Code 0
Country SE
Latitude 64.7667
Longitude 20.95
再來看看連結的網站:
schnittstellentechnik.de--解析IP->62.67.235.170
Domain: schnittstellentechnik.de
Nserver: ns1.evanzo.com
Nserver: ns2.evanzo.com
Changed: 2006-12-20T23:34:05+01:00
IP定址:
62.67.235.170@Germany
應該是Web Hosting上面的一個網站
惡意程式:
hxxp://schnittstellentechnik.de/watch.exe
VirusTotal:檢測結果
Result: 13/33 (39.4%)
該網站還夾帶一個攻擊碼,會攻擊IE瀏覽器漏洞,且攻擊碼有經過編碼的:
hxxp://schnittstellentechnik.de/00.html
#社交工程手法絕對是資安管理上的最大風險及弱點。
#Domains及Web Hosting已經被濫用了,這兩個管道能被杜絕,網路威脅將會大減。
沒有留言:
張貼留言