疯狂广告网

疯狂广告网
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
案例分享：疯狂的广告邮件 聚锋实验室认证厂商2015-12-31共196984人围观 ，发现 14 个不明物体 其他
一、前言

我们经常收到广告邮件，很多人以为广告邮件就是商家直接用自己的电脑和邮箱发出，今天这篇文章将会告诉你广告邮件不止这么简单，可以说是疯狂。

投放广告邮件已经形成了一个产业链条，正规渠道广告费的昂贵催生了地下广告商。地下广告商为逃避追踪溯源和获取客户信任，利用黑客技术攻击获取一些政府、公司等公共邮箱资源，然后利用群发软件为客户投放广告。

下面我们就借助一些案例，来揭秘其全过程。

二、瞄准爆破

第一步，当然是瞄准选取目标。目标的选取一般是基于政府、企业的公共邮箱账号，选取这类邮箱有两个好处：一是公共邮箱一般疏于管理，密码设置较简单；二是容易骗取收件人的信任，增加广告的点击率。

第二步，上工具和字典开始爆破。如：172.16.2.4为某企业的邮件服务器，recruit@xx.cn为人力资源部门公用邮箱，下图为14.217.145.43通过SMTP协议爆破该邮箱的截图。

1.jpg

部分整理如下：

2.jpg

第三步，爆破成功。经过长达7小时的爆破，从Wishark抓包可看出在7:26:19终于破解成功，密码为zhaopin123（base64编码emhhb3BpbjEyMw==），确实算是弱密码。

3.jpg

三、测试邮箱

爆破成功了，当然还得测试一下邮箱口令是否真的准确，能否发得出邮件。

下面为攻击者给自己QQ邮箱发了一封“test”的测试邮件。

4.jpg

Follow TCP流，还原邮件：

5.jpg

四、开始投放广告

下图为通过SMTP协议开始往外群发广告邮件。

6.jpg

提取一封邮件如下：

7.jpg

短短几分钟，就发了几十封各种类型的广告邮件。

8.jpg

五、案例二

除了企业的公共邮箱外，政府的公共邮箱也是重点目标。例如：

69708000@xx.gov.cn和wxx@xx.gov.cn为某政府的公共邮箱，由于使用少，密码简单，被地下广告商充分利用。
由于本案例未监控到其爆破的行为，下图为攻击者利用猜破出的弱密码“111111” 成功登录邮箱。

9.jpg

下图为邮箱69708000@xx.gov.cn发出的广告邮件：

垃圾邮件.jpg

下图为邮箱wxx@xx.gov.cn发出的广告邮件

wjz@xinjin.gov.cn.jpg

六、总结

1、地下广告商为为了赚钱，铤而走险对政府、企业邮箱发起攻击并进行非法利用，行为可谓疯狂；
2、作为邮箱管理员，我们不仅要保护个人邮箱，更要加强公共邮箱的安全管理；
3、抵制广告邮件，从你我做起。
*原创作者：聚锋实验室（Mr.Right、K0r4dji），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

聚锋实验室
聚锋实验室
5 篇文章
等级： 3级
||
上一篇：揭秘：广告拦截软件如何赚钱？下一篇：漏洞盒子12月“互联网漏洞之星”
这些评论亮了

langyajiekou (6级)回复
工具和字典呢？推荐一个比较好的。
)7(亮了

susftp (5级)中回复
@ 聚锋实验室，没问你
"通过SMTP协议爆破"
)7(亮了
发表评论已有 14 条评论

langyajiekou (6级) 2015-12-31回复 1楼
工具和字典呢？推荐一个比较好的。

亮了(7)

聚锋实验室 认证厂商(3级) 中电长城网际公司的聚锋实验室 2015-12-31回复
@ langyajiekou 本文仅讲分析，不涉及渗透

亮了(3)

Ra8er (1级) Keep Calm and Carry On. 2015-12-31回复 2楼
:oops: 我已经猜出来是谁写的了

亮了(3)

gongmo (2级) 2015-12-31回复
@ Ra8er 哈哈~~~~欢迎关注：）

亮了(4)

聚锋实验室，没问你 2015-12-31回复 3楼
问一下，登录时有验证码的邮箱怎么爆破？

亮了(4)

susftp (5级) 中 2015-12-31回复
@ 聚锋实验室，没问你

亮了(4)

susftp (5级) 中 2015-12-31回复
@ 聚锋实验室，没问你

"通过SMTP协议爆破"

亮了(7)

人家是在问“登录时”怎么破 2016-01-01回复
@ susftp 难道不是应该通过IMAP或POP协议爆破？

亮了(3)

人家是在问“登录时”怎么破 2016-01-01回复
从这篇文章的内容、行文风格、wireshark抓包的截图、帐号爆破日志的截图、文中给出的密码爆破时常、密码破解出的时间等方面综合来判断，我认为这篇投稿不像是一个“案例”，更像是作者自娱自乐搞出的一个东西。

亮了(5)

聚锋 2016-01-01回复
@ 人家是在问“登录时”怎么破

你很会推理，但实话告诉你，我们没那么闲，自娱自乐。

亮了(3)

怎么破 2016-01-02回复
@ 聚锋 您其实没必要实话告诉我什么的。我作为一个网民，只是基于自己浅薄的专业素养和粗陋的分析推理能力，结合这篇文章中描述的客观事实，得出了我上述回复中的主观结论。作为一个读者，我首先以最美好的愿望，认为这篇文章中提供的信息确实是客观的、是符合事实的，但是因为我个人在专业素养和分析推理能力方面的欠缺，我得出的结论很可能是与事实大相径庭的，或者就是与事实大相径庭的。甚至我得出的这个结论与事实相比，可能是狗屁不通的，可是，这依然影响不了我个人以自己有限的认知水平、基于从文章中得到的客观信息，确实只能得出这样一个狗屁不通的结论。

亮了(3)

X_man (1级) 有些梦虽然遥不可及，但不是不可以实现，只要我足够的强。 2016-01-02回复 4楼
666666

亮了(5)

逝去de枫 (2级) 2016-01-04回复 5楼
看完本文唯一的收获就是，原来政府和公司都用的弱口令啊

亮了(2)

聚锋实验室 路人ABCD 2017-10-25回复 6楼
原来弱口令这么多

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
聚锋实验室
聚锋实验室认证厂商

中电长城网际公司的聚锋实验室

5
文章数
1
评论数
最近文章
BoxSoft WAV to MP3 Converter 软件漏洞分析（CVE-2015-7243）
2016.03.21

微软“WebDAV”提权漏洞（cve-2016-0051）初探
2016.03.14

长城网际聚锋实验室招贤纳士啦
2016.03.10

浏览更多
相关阅读
巴尔的摩为何成为了美国研究监控技术的“实验室”如何下载所有已注册的域名列表《一个路径牵出连环血案》之四“你好，高富帅”（连载）xdef全国网络与信息安全防护峰会议题PPT下载0day交易系列第二弹：0day交易中的骗术
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php0daybank