「現時点の状況ではスパムメールに添付されているマルウェアが増えてきましたがスパムメール自体の数が下がっています」と色んなセキュリティサイトに本件の情報が見えています。明確にスパムボリュームが~50%下がったけど、マルウェアメールの感染仕組みが増えて、その上でサーチエンジン/SEO経由のマルウェアソースが20%以上増えたと。このニュースのソースは「こちら」と「こちら」と「こちら」、など。
結構ストレートな情報を言われてます、この情報に対する信頼を確認しないとユーザがこのままで情報を読んで信じちゃいます。
皆さん、ニュースの情報に付いて確認が必要ですが、このブログ内容でどうやって確認が出来るかと少し書きました。確認の為に色んなマルウェアメールの最新情報を使いましょう、ソースはこのブログの下に書きましたので後で見て下さい。では、確認の結果は下記となります
1) 感染ドメイン名、と、マルウェアのネットワークソースに付いて
ニュースの情報では上記のドメインからのマルウェアが多いと言われてますが、調べたら情報が少し古いかと思っています。上から5番目迄のランク情報をチェックしたら、昨年10月からドメイン又はマルウェアのリンクが無くなりました。クロスチェックが出来ていません。
現実と近い情報では、オープンソースで感染されたドメイン名の一覧はちゃんと管理されているので、例えな、こちらの一覧です。
では、ユースで書いたドメイン名とこのデータをクロスチェックしたら結果は全然会わないです。
ドメイン名一覧のテキストデータを秀丸でGREPしたら、ドメイン名を分割したら(下記の画像ようにやったので↓)、これで見たら「.com」は一番、2番目は「.net」次は最近流行っている「.cc」です。国対に付いて、「.cn」と「.ru」が一番多い、次は「.de」と「.kr」ぐらいですね。さらに、言われた「.br」は現時点ではそんなに多くないです(119件/順番はNo.10ぐらいです)
↑これだけだとミスがあるかも知れないので、別のオープンソースに確認しました。ネットワークの情報も出まして、結果は下記となります↓
↑これではアメリカ、ヨーロッパとアジアネットワークからのマルウェアメールの発見が多いとの証明が出来ました。なので、結論はニュースの情報の確認が出来てません、データが古いからこそ現状と全然違う状況になる可能性が高いと、確認が出来ましたね。
2)スパムのボリュームが下げた事に付い
スパムのボリュームが下げたと言われてます。
スパムの数の話だと、ボットネットの情報とクロスリファレンスしようと思っています。さっそく下記はボットネットのC&Cタイムライングラフです↓
↑12月ZeusとRustockが沢山ダウンされていたから、その時だけスパム数は結構少し下がったとの情報はOKです。但し、昨年12月前と1月から沢山C&C動きが発見されていますので、ニュースで言われた50%迄にスパム数が下げたと思いません。
さらにスパム数の動きがいつもボットネットの数とイコールですが↓
↑では、ボットネットの数の状況はこんな感じのトレンドですが、これを見たら昨年からスパム数が50%が下がると見えますか?
3)今年から感染されたマルウェアメールが増えた事に付いて
マルウェアメールが増えたと言ってました。全て全国にあるK-SHIELD製品のマルウェア感染された情報に確認しました。1月からこんな感じの状況です。昨年と比べたら変っていません↓
↑上記は関西、東北と関東にあるメールフィルター結果情報ですが、マルウェアメールは大体0.2%以下です、昨年と比べたら少し下がる(大体0.16%)ぐらいです。
もっと行くと、マルウェアよりも明確にトロイですね、こんなレポートで確認が出来ます、現実もこの通りの割合で毎日見ています↓
↑これの情報を見たらマルウェアメールに添付された物が殆どトロイの関係です。そのトロイの中に殆どScriptダウンローダーですがブラウザーexploit攻撃ベクターが殆どの窓口です(その他の窓口はwindows osのセキュリティ問題、詰り.lnkショットカットの問題など)
※結論↓
インターネットであるセキュリティニュースの情報は、そのままで信じちゃ行け無いですが確認が必要です。時間が少しかかるかも知れないけど、調べた時にすっごく色々勉強になりますから、ちゃんと一緒に確認しましょう。
ソース: MDL, CleanMX, ShadowServer, K-SHIELD, honeynet.org
---
ゼロデイ・ジャパン
http://0day.jp
アドリアン・ヘンドリック
Tweet
0 件のコメント:
コメントを投稿