Come analizzare gli URL di e-mail di spam per rilevare gli exploit?

Naviga le tue risposte
1

Ricevo email di spam che, guardando le intestazioni delle email, sembrano provenire da una varietà di computer in tutto il mondo. Sono sempre lo stesso tipo di email che contiene URL non validi all'interno dei tag HTML IMG. Ho impostato Thunderbird per non mostrare mai le immagini, quindi questi URL (presumo) non sono mai passati al codice di rete per una richiesta GET. Come posso sapere se questi URL sono in realtà degli exploit? Non ho idea di chi chiedere su questo tipo di cose, cioè chi è l'autorità sulla diagnosi di e-mail di spam.

Per inciso, queste e-mail sono in genere destinate ad apparire come se provenissero dagli indirizzi email del dominio markers.tk, come branchiform-cohomologies-glue.brama.markers.tk.

Ecco il set completo di URL HTTP che ho estratto (usando grep, sed, ecc.) da circa 10 email di spam: 

 http://0x1F.8847525?-zcNQec8Mqyay9MwQufAZyDUlLviGZxNBtAvdjUQniA4jIwSjugqP7PM_YDtdAdIonNBP230qbsCCEE3GCsYnT0ZOJKhVl0mQNAWqXOL45FVLPvLfDeD6C9Fu2vFD6QLKKWpg2t9fdpr_i0gSa25r1Sm4HcNXB2CXN8jpGywGHG
 http://0x1F.8847525?hYeUX_hOpKtco0KhofhYgO5idY1xpk71gWWaYhPNn-ich1rllpf-dxHOLkyvSfR0JvbB3-LANJSk-WYDWqYHnRhCKO45-koqC9pJ4dAKJwi8EO_SthO7CyBQ2s6QP3CTb9NcvcHeKOpb72mZa23a_b7k_kM6sj1NfnWUSp6mUF
 http://0x1F.8847525?oKLLiWGT7oFicUr-imJXIwVHRA_FcE2bglcWVCFO4jykerlKf-fyTNtAQZZNY9qADdEVOQ5IQICHqSpzJWIsyLN28KCWn4kPxaGpuSdgtcb18W9KZnHJR1X_QQnX1eTf97GGQIDQjHH45joCDY1y30KbrYoxysVVQNvCLJq44KG
 http://0x1F.8847525?4FfzWOPIrRj9oofD5SgyucrOVquKTsrFDU_2_wR5-Hk1uynXndCyzlIm-j3k_7_M_GQkLC1KK6Am0P1NBa6bwJBOToRlAFGoHvY-b24M_w9jPj-u-5ddMrZdyRPrOfTgHhjEA9blwHvQnRhUi0dIaSlDAXLda1aS_9iiAnzzE
 http://0x5B.15251803?b98Y15GsFo_xGIZbJ923WWJOLaBx-p7JEziR1AZR9fmhLDYMgtI0Jd3hIHIZX0c3bVtpSHehRhDizYfdpIPjY0QqEsaKmJ7_A_snqBbASkRt25jTWg2nne6q_KRmh4DApy3nQ6vdUO76ClhJe8nk6a5PaXrij28Gm9otM8cYlclEDZe1_lvFMyG98B7LV69buf4QgfugT8MfhivydF
 http://0x5B.15251803?KkLot73H22u7ukbbDIvetdwlABCGERMPjAphPEzzIre0DSEK1S-a9usnanWZbhjrWq-ISSOdWv4DD1i6xdqJBrl5hqnHX2lRrHRffeSAtdVW4wXJ8vcttIsbuYrOW1U_nrO0vHcr4ieuFjAMVZfPrXwWshxfP6vSPyxjEsdZ3qBatR0gWwlRJ0jURhBJNEyZ567M1qGjrK8c8aeD
 http://0x5B.15251803?YLd32UNkLvRBIvdDZpfyxORkWkMDBL5HPWGogdVLdQSP5olZ6S5usDtjH6e52MaPTtZPgU6T8jvyMJxw13_DFKTv3dbSap5UhU_e0API9fARW0-XmQg9TMyIiLzQsQijhlLQw1pC6F9uRwl8He3BmcrMpuqLdhBbVKm2x1WFFSXXqQ0v-ZdBY92PWI4RJAfmfxTZaCW2elxk9bd3E
 http://0x5B.15251803?3HYLxaVQI4UFjRIvxqImVwr8KTyBORzncMHLjSEmyqKQczSaIIXSOBX6bQ34ys0urKaZXz54Mb8TE1xFMEeWZT7I-WVNXORIjYesTBEcBv_zA_NBXb2rIUVLULAdLq5YvQOAH8sFkCnpj12vD14wpEZq8eqygtCNasbkL-QWoj_hS5fL5gvnCHfiZmclBmD7UO_icyYHFJQLfujkJaG
 http://0x5B.15251778?3BHHVK38ql7RnlHT4fJCQE70JbiAdaCJMUmpfpwpLW0IxlhDl3tSbNdeIxq23_Go5T9PZTWYjfyWr2nobxFCx-q8T8g1Xha6vxe0ehZETTmY8GZZIlbdjqHSiSa6aNceIw3GpLngSV168_NUpmy5njfF990NjtQ7JIJI8iVz4e-y9Lwgf9-wWp1PsKH_srpNuyDP4z91E
 http://0x5B.15251778?H21I_0l_l9if7EVt_AoTztLtJsyHabDXGWKAf35AzAnD8IXb4t3ERY3zTbjtWl1Guko3QMw9OeL3drlQfZxMmJNGquQLZ_Pke5zQnKxI65uA2uW3YAnfwlRPXAKRJgPXj6j02j_WX9p0xg7PFGJJOOrIN3vUjgP8jPAbV-kUW_31NZnZj8F2xRg_rHYmqz18XBUv7l3IrEG
 http://0x5B.15251778?tvd3O2L4NsBhh59sOCuNeuANfEmEtyE4bZyqcYFEPIOlG4r4SsarobR9kCWOAi9NDy9fKZGaNjyGDzURGbKl0hEC30gM4Ey8uM-iuY6BwVDzJxYQi6cGheCH-DBbn7KanHQnhDZvB7wj4zdyPXjVDCZg8YyyWJZjGc8QMCgR4x679mNw1KV9kMXowgDJqErC0egqaV4KV3G
 http://0x5B.15251778?jdsBmcYAYPncHd408oIXiIm4MszgfZ_6-vL2F-iXyGzLNqcj-uxVr3H5XJ5veQzsU8DmUchhZ3ku06mwvd7zKprOqTde9tpgUFZ3B7F75CGtATFkoibBiDnBsnOr-aVBsSK2x1FNbo7ZHhtA2sGHzGSNM_HGfRHICMZCMym2QpRTugdg16qheT5LWEY44ribWZfLviiD
 http://0x1F.8847641?zua4R3KVWSGCzSeEE8YKQKYIGo4LaYvPPwea-aqHV2SGV0V8hnHml8jNXGlvUKXtT-BMo3g0225rvheYbgPxALHuvj9j1_k0sf3EBjkcu3T9HYaAFffmt0tCVORNK5by7wgZVrtOPdxkoU5G-zNzezyfwNT4kv0xmG79-9G2j-ueG7a9qK2w5S-cQ2VvJlrMg1cG50VwxepUkwPrE
 http://0x1F.8847641?1jPOLsTs_ruXpt_yL8WwMzFeIPCMCJMn4t7A-naObBJFfUc9kUGr_3QyWbXMEC0BG_HFcHnH1DMHqHNh0n5GmMcHqPNA2Jw_f9I0pg-q-kQ75g-EroX-byT1aYvkkWr-fv03VdcNbutb4OjC77EtmBXLhA-G2Nl5oFg0SVgN40T5y5GvEY7XbGdG_I_PDlR6-HTZa8302MK85tpQBtG
 http://0x1F.8847641?gcj-lT9_OUmjDgzBpgFWgSNydBH8G5P0lk-oIEtlD_-jwKkeWU1Wqt712a0uXSBqQaES_mewlPRLS4AV-Tia5OyBS6PpTLQaKWYp4JzNE7DG622ugPkEIGE9q25zdQiINNPzcYTrGDInjSPXLV9klpbdI3vXLx1okc-gwl4_dpnTzukqAifsAX3dMsDr0HhOsWM4bGXdTPku4ojD
 http://0x1F.8847641?lPsLh1DYcoEgZZcvhFGcrwbX47fJYi8TVqRJuT3LxK5x8Rq4AxaGNMbd2m6F_NHKKB_AWePNpnVmdy8zZaxgg1cJUcZG2__zQh5RgGd11Q9h28L1AmVzGnBPYptlL_q4CR54BAGxBDOnVLqX_3h67KHvfq6mmgWqPh66tssona9BZoq0DaP8A4Sf5_KtEWk8pLYRMdGPfIgVWa3jx1G
 http://0x5B.15251809?432WAmVaZkFmc3C5V1aFaJ1kzSNrYMYgq4LA4J327eJE-ayite_pOYCg1fJv3BYYSIgDn6im3Iyj6WdobfNnv9Uh1s-FdjWPpgsMFOcb8AU74qDTiaa_qNbvoO7u4_zjr-zQDEQH-CsByanq4L5CghTXfcgaBgLW7ZkFpjIm5trIGU2-lgbjORyPRk6cHpNtxi8nq1DiYtsD
 http://0x5B.15251809?SL5wUpvucWZp1LFjp405OlJbwCRBbE-OByMJjPWUzZcQlloLkYywSzE2IwwsRddymL6XqUmtRtxt-Z38dIBeRZr1alvoMlYkJz-c-f-2nPEhwP5rfxUVWrMpvOl3tlEfdjBQ3RFdm9JR1oWG86-e_XFrZCWQlRZ62ePX8eQN9XDVDe1cuulncllBpyPSYjUT2AmKo1xKPO4ZCL5D
 http://0x5B.15251809?rjbEqJsLhNOPpENvvcipNBArj0-0nlc57ter36FDsTvi0TnigRBT_Jo500ggCyGgB-9sJRDozLIGKzA-Uv1-c6MYuRG_2KYMA-Ce14CPCXQTv9-PDgb0rHUu1EBehisdVyWuOkQ0P9fhGtg-eBVRi4GLwdvOL7kuAW66tR1BUYQ4TW4bqJxtvjaZIoefRbN1ItVCTW0ppWt6vF
 http://0x5B.15251809?Wa_0jvz9jakv6aLn49o3RNTLK-lQrUKVzf2hb1r-8pqIgdJ69qf4TcdcNTlmU_MWQknzxXQkVh0NhEg9H1GaT3kcy7dUl400NCEgNlCFtEWzdcBi8dXfNE6Xc71ILTvkReVaI9F7Hhx9dfflTxh80MvqXwfa37PK3vUAI6cprAE3WRPCyCnWbo1tJdUdu--sw01So7lZzSHg2a_D
 http://0x5B.15251742?8goapYhTToqYhg09OpzS_t6MrzMxMepCgqYKQs5d-wRx5bRfPUldwZb_MHYX7iBDNq_Grey8_sG3bECGBOHNMbrYbUVVh_AHTVprS19tbUq7U1KzGv0zsEtwmTM0sqW2NdnOqNV1NqMyIjk6eoefe9V5ozsXpj4Q_AFzV9DIhL4ryd_L-JJE3CEOU6mEWaV9IvHDZRnr64gD
 http://0x5B.15251742?dPoQ7YY1AycbNzoguenbSzOoMsZOGq1b1B1G14tSlj9kiVfUcNj1d0WMknDx8tMDsFIwpmuA5SVtY6Em_i_drAfXWOsAYpOx7mOmi5Vau2PvPHWWh_XsB2t4xErc7H6_Pcpwu78knkpjfNVp5Nf2iQRixfy4PYbc1AWbIXv8jAQs51j4vv2aP9T7U4_zQ0GrV3zvkL5YoicQE
 http://0x5B.15251742?GZicChkiSB1MyjSACxH2jbo0wfwVw-bMMXPkf7rNayLetUyrImgq_PT8lho_KLZe_ev7BRLjennJ8trV_ZidYzLG2v2XQMJYltWjufrK0HUNgLZCdLpLTMUdg612I5jJD70uH5zCYrLjDzEfzx-Y5HLaLuMxLtu-hUcifh3FJPHscotaMWWJEf8BBYz5UTxMWC57FcGV4CN0CZG
 http://0x5B.15251742?W4nNJ0BXys5sy9tWI4cIhtKUVtehM9DeM5aazThr3cpVzoeaRIUzMNuE0ulk3XFx8lSL0Vt-XJPQ027BRB0l9RP7lgAXKrTY-Q0t_D8ne5Hv7FPnhZ5FUL0O-McQVkw587j5He1qMxiKp6l6hy2ezOXh5hZggZW8iQY7UBAu5PHgDpv9g4w_gqV40NhCw-7WCFxhXuJh-D7NJF
 http://0x5B.15251748?vP6NYqUyebZ6TTGAd4BsNbz0LJhIJZPZWBUcvdcS9DWmCQGHiE86kyEkPvug3HxpT_7WETbcsGb9x0_hYcZfeureqVYRKUtffuu1ADTUf5G_9ykGTqKAmxZOrdM-nK8lScyEHU-SQkMtTIYFKrOgirSMNUEtYmfmGPC6HbT6uhSHS1XGiF3GnLxtOGYXf4krqQryq2uGuH8dPP6D
 http://0x5B.15251748?ABhgyAeKRFVsELREyMRQdFr7YlX9nk2qPiJyEfwlVooW3KnoP5cWKVcoB5LuC-75fuNGkRypY9OORLdXG5jfp-X6pL6_k7SxqbaDHaYn8AQJ_0I4MjFG5NKvAnlgNNbi2DtxlTtyREcV3V1M461kFZowv77TFQu-JiSOUDX0JUMeJfhSQXb4ZHnDTUqjgwjUnojpfw4dd31dguIgyAG
 http://0x5B.15251748?tzBHVL8xs4Z3L35t_SWRSs38eZglrLmhDeHxRGJGlfJyqLUEGMDlGVwdMatVrfG6D53D4NRTzkBMmcl_9Ff1LI08azjSMLG3v6sjhFGbyTu4Vh7lqPc5UebDuetA3jWE9eRrOQsZ7HCf3b1n1xNONumombBZgydfLfgxv7hgROKw2bPf6CJh5ZHKSnw7O_wRQUUx4w6R8Aj9zF
 http://0x5B.15251748?sHJrKQ5QPzN1crJ39WFQl8z9nNBdnbAsX4J6zp8fgJyVm7QnJCVAIupEF1KoGIAahMYcswhnnJECiC6Oxl15FmHDj7mKDEc76JA8wqVudC23_Fy6AsrgOTPG8Ipfa8f3bdmzdg57d4gA4qsS8IOQODBh-9TJGz0wQisuRrS-VFgKNY2il_hxmqu_WpI7drwWuQ2bklF6vCpYT3JrE
 http://0x1F.8847697?a5Es4C0J9dw2adI4rHC-3VC838vVzB-MkwiuI6no6IkFqQUPRm5gqqcbrOZ9x4lIBcGtv8IQX_IqlRAtm3KoMRbDQ2YehrLtY4-u0Niu7fn6-ZN1PLxGK1PB-Nxv8KkXnuXx-kKXoWmZLzUGbwgAWtPAMzP62cjQqb2-Xpr6m_KupmFY9DT9yl3N3Z6xvC0hRemyJsBK1b3_E
 http://0x1F.8847697?ML1PqUlsv2hZMv5bdqx0Jpnh99HiCf0f-vtfu7Jk5wWmRRsTr-RCwZ9zDQodR-waM9Qf0zvTpkX-CCqPV0lezRKODRsCNc97G-ChlQgUkyr-XEWd1ZXXjvKiUUcks4t_eFZ36l6VuEVDZXEbCVxrjWrOmi5YH1WtYA5-u-g2T52b03g2NOTnYQHp3KhncFDWfVYvH7zeYtowE
 http://0x1F.8847697?AE0teNkKjvg3Ao45RjwS9im_x6ET2Yz9yos9i1ICLLGyZarxf3QgkS8R3Jn7F3u8N4mNVUo2fdVcy6htJtk8nKJs3GrgFV9Z62J_VRGStTKmwrEPRYAhF4quVMdEtMNGquDRhlcaUuFOKdUG-9Kw3jeIVtDNjqeLibdG1FbkAKQ_VXsUuQCxCfec2VVwo8J5qS3cD927LSAtE
 http://0x1F.8847697?3R0wSRVakN117bkUSdIvyCPsH1Yk23xi5kLlvh5gmml7UF7XyVip-qpf8VRYqv5jNc5DOAc5RVDcFIykZQb6ogiPVCWeXWYDIppTHjgf-c-vy86qqc5ieSgljb91oARRo7nFT_3CnrNcaRc6RdzJ8UuweLnfGxXWbvZYdJHWe_UFEZIw8lChD335p3REP2GXXy4i9J1BCBVDq1G
 http://0x1F.8847664?acM_E4l8knGQWvoaotMA_VHUQnAA16QpJBGB-cTZbHRq0TOW9yVI54TbBwj3AuF-PrdBoY66Xqz0D926feN-b7Yz5j9qIAkFQ7i6DSHH2QFeknyghLdAAvHsKPIl9C-kWdaZBk5BcRUKgku3Z2XwCjhjUDcHfZlzlb9kfgpd1k2XgHha4AK4DNk2K-Kk3bCLQoyyEnXqgT9-K5eBdF
 http://0x1F.8847664?om80oGvsZLUSGkMoyNTkNg3PEbqsmO6hnFcI3BkQynWjtdaXwFbySgLIHJtHbObSc8q6GZEnNqU3PZac5-FT1EDBVewhLY5SA1fWP8AI1XR3apn635MDwFOD4S-1MLBiUwV3GBSgOyGyyzPLzvyAJgECU_9AS7UHAch0qdOWWONZjXYMwwLdr_6fJyTTLT31dHQzBq0Wm17HRz8s0F
 http://0x1F.8847664?jI0_pBRkkMP0-vNjUFelICqliJbGY8snpHj1Q2vVtoc8rYgr3kfCoj13RiaP_Tr1XvHKj708g1SWWnzHmK_-WM1aFB2GyQJO8LpD1gZMcYXK99qFUYAzxGwFmSqHb1ZYUB8CHbd4V_rJBidYCTJJQMFQiEAyB02aO61EEz7PqLPC-G5Uylzp6CVERgfJubaKfrGDc5-chFYbW-o0_F
 http://0x1F.8847664?lNXwODWHVxJRhgylZoOM3KyDKYQpJhusM0TwR4IXn9tZPfBxs8WxiGpXd-sNgBedoPP25mTN7jsM_Fzst5kf8Ub3gJxsuCWrz1Pi53RTPaEsuiMK3Il3GAyGrSDC6ve0Evq4ghv5ytkYWhi_aniHBtJAgE68v2oPSQpFw__5a1D8TcmyPUxxNf6lqOsBK74IzC11o0sVcOWLXwjTwF
 http://0x5B.15251480?xkADPtwgUI0NhIAPCS-Vu_QnVgnSukKFRFcT2eIZexUtZFv0sQ4PKzGVtr2_8bwx0VhDElxManufWbuKVCK1A53KqaqdmVsLtv6AJxiUJqJV1U0IV3SNDQWP72foSJluF4XM6KTb9umaCYXY4ou15PM2iVYWNgbvc1cYk6wiJsQExXREuf4Pu96Nk7GhjMlXJepuFAPi4UVJ8AEDE
 http://0x5B.15251480?1wJzT55QYc191TN_GPFYvsDDi8_WxgX1VTFTAQZQ73dP8uq503oGFRha-_mlkfLMwTJz_h1FRnlrALlB9seYTj7CYtgYjdCzV2uxzRn8m56wUMFi73k3bxX8hQa6-4tfM7OTAVuFliToiiRKOFSfb8gvJ1PXG0GJI8uFXSA5PQv-iFBHK9ewVxN5S5gdPtkuJ2IImVAjyglkKCACE
 http://0x5B.15251480?at0OVB42kr4tG30xZNrMwzP9U9haLkWdCQ1kWN_vleWwKxYMC-zLLn-5IXHcQJ_FFvteWO6RQ2ihDdTnbRnIhLb4Qk0kKJA029sZJdUeSXGKLqTgFxV1U_eyjS2frSj4--t9fJg4nHrInl5ZGf-hwNycLufGjPHh_nzvbTanoiVaqblde4PkVt2OhH04t00SRXnkLrcsvMhsmaoeVBG
 http://0x5B.15251480?-ZIeDVci47m5yj4CDhPHGwAwO9UXR04pciEn65T-TCTj9zsb5d2XvuwnSj8krRfdkhRKqeol0i2xwyj9mlnzILXTCczXhU6T254hVE99cAPrb49dniuRM2fHHqtMFdHiOjNGZlRyw_UjbUYDQ7bmriqSo9N9otCqpfIutovxTxT0JGzB2gt8mlUqNVp-Rb2sm4CI6vsZ3cC4KOT7LVG
 http://0x1F.8847685?AP4eYodCj0ZIjTEh997BNweP59eSr0F2EncoUTUVSogOgIOa3ynp3MMSomT109X0HFGTZVSDLaQHt23QJL5K5orn8TTpd83sP-ypW8TQRxoOE4oWzvGbPcB96h2jn4gpqMDSuaQqUdRhu1bhSaNT1RThugjFUptR62b1-4SrTfaUP00VvzxwOL15G45N05KNV9VtN_3QzT3DTH4D
 http://0x1F.8847685?SKKwT6v9t2Y62KWTnMN4KNbxRPCNWuTe3XbeUKU2SsmSyViQ-dn-cYLoPLuJkHHLt2fTM8QfYf9A38AQAk-vI8xe4FZBl3cbRZ8OM2ReSJA5l7zgMaTP7sgA1w3roXmftbhDZgkSORjSNjzDzde6wsHLhf38Y-v-Ev3LOoX-k9yw7Zli-udNxKy2no-H-8H5RmCZqkRZIvKVm6KD
 http://0x1F.8847685?82yyaa_iPNniAi98CzPb7yLjwJt2Oo7syFAsC1689IXD8042Hw95xV7L_ixf_rhps11cW8QJ32ioCruJfFU07rcEpTraitTZ4SPVXuXPYkDdNQwRF-qkuetcQu9E0f8Bgz-v6Rrk3CPzCQ_FeoL4lClRMYel7cbRIfbNqG8c-0ksw_NAzzHDlGc04xslm8mExvNcUzdW7w8yHPWyyF
 http://0x1F.8847685?qfhQMvIoRt_ampR0M7rOiH-Edq-MzUONNTp2zS9RM2rvNt2X11yn9mGX1c7uaAAVLpdjdqeze8LuvdGGQspltzOOGW5gcX8q_vyPahbE1sy6_V4lEjRoqS4ZLHboVNgx41vBykQUACSrEmOzZlFx0cwVL5vEaJPWEDG2uW0oSqLzr1hM49D8vjhCV5cdQudp-dY0qLsnwvTtOCskIvG
 http://0x5B.15251764?Yvh24R9SNE5h7ztpOd9pdS_KeV0L7bdGTadSkDB6dsQPldASftYDIkdh_dhPpsZ_dZI_uhTzmi-G6e19XrBbrjPvnP7i_EEifQ9xQBOUmYSv8DvZMmxupUISsFGgRGT3DN3yh5xH_1KRTe1W5wqwav23HtcuCV2xZNwHXxTY4HZI3hZlFaiQ5iW4V4lKEAGyrU8DVfxQOUOclLO6PhYD
 http://0x5B.15251764?2Q4UZobzb6a4aUEHu2IufPZEf2RPTkBjq3mQhW9u4ChIi-4wjHFZZ7YJXFJn2M0fBkC08fiBBpmFVolXLAl0t9UlFQdnTOr65TFTG1HDhhhvyu0mb6Zx6MyMUjYYcRYv0m4BakiK29Bl5oZK3aqjkBckUJg9YZBRaebiDcEF3ntPqsOouP0vWswm46kkfrlWpPiftiuSvvP_RYlcQ42D
 http://0x5B.15251764?TdxgAgxmhFjM_nxDEsk8tF6cNtammzGprlXSVLisUo1F5PKo7_wLtN0viuLJyov8DTwlNpkCsgJB_GS7laIph7ofPSAwS6W6P9hqPMtFeStIGKgxS4gGCwIT8i0BXxp8jvG8oiayEJxP7NSklvVr03fFdBhLLtD2JvixIq2NhBGJeNr1j5k334pgAzULTeZGfa3KX5oeQc_AT81i26G
 http://0x5B.15251764?HeOY4ln-9bzKYIcHqf30sYE9BTGK8viF-a0Zz8mZJKkZNRfjd3O6BguYPqDdjRu2W7OaeqQmj6S75hXVi_CJqm2NztF4wKv_lOyRAbfyNv-lVPl6T5YUDzgZNCmkbNAtTQDjyqNQjSDRTWy58RwbzC4vc6Zq4eCIb0EAxbHUuRsjtNgvPT8Tt2GYrKsuCtc8DVyTcjpl-OsUHOXWFe3eOF
 http://email.treditsoves.co.uk/UTcyD/slugrz/op00af/rgrlcmu/ssuhruarrl.kqz
 http://email.treditsoves.co.uk/o/slugrz/op00af/rgrlcmu/ssuhruarrl.kqz'/>
 http://email.treditsoves.co.uk/UTcyD/slugrz/op00af/rgrlcmu/ssuhruarrl.kqz
 http://email.treditsoves.co.uk/JkPnV3gp/BpV5q_hom/windlpim1.png
 http://email.treditsoves.co.uk/53zU/slugrz/op00af/rgrlcmu/ssuhruarrl.kqz
 http://email.treditsoves.co.uk/JkPnV3gp/BpV5q_hom/windupim3.png
 http://email.treditsoves.co.uk/67i/slugrz/op00af/rgrlcmu/ssuhruarrl.kqz
 http://email.treditsoves.co.uk/JkPnV3gp/BpV5q_uns/unsub.jpg

Ho usato Curl + Tor per recuperare uno dei file "kqz", che era un reindirizzamento 302 qui: 

 http://46.16.168.80/ilayer.php?slugrz/op00af/rgrlcmu/ssuhruarrl/53zU

L'URL a sua volta non ha restituito nulla.

In che modo posso diagnosticare in modo efficiente un'e-mail di spam e ottenere un rapporto tempestivo e conclusivo?

C'è qualcuno in questo forum che ha l'hobby di testare potenziali exploit che vorrebbero copiare uno di questi URL in un browser in esecuzione su una VM ed eseguire What Changed?

    
posta Icann 20.02.2015 - 16:42
fonte

5 risposte

3

No, non sono URL non validi e gli URL stessi non sono exploit. Se puntano a sfruttare i file è difficile dirlo.

Sono URL offuscati destinati a evitare i filtri spam. Se provi a eseguire il ping, ad esempio, 0x5B.15251742 , vedrai che l'indirizzo è tradotto in 91.232.185.30 . Il resto dell'URL è un hash e probabilmente ci sono alcuni file con molti alias , uno per ciascuno degli hash che stai vedendo.

Se vuoi sapere se sono exploit o meno, carica una VM, installa un software sandbox (Sandboxie è una buona soluzione), carica gli URL e controlla la cartella sandbox per i file creati.

Potresti creare uno script per usare curl / wget per scaricare i file su una directory ed eseguire un antivirus su di essi. Scaricare i file usando uno strumento da riga di comando è un modo molto sicuro per ottenere file sospetti senza rischiare di infettarti.

È possibile ottenere gli hash MD5 o SHA e cercare Total virus. Se qualcuno ha già inviato il file, ti manderanno alla pagina del rapporto. Se nessuno ha inviato il file, lo diranno anche a te. Potresti usare gli strumenti forensi (IDA, Volatility, GDB, WinDBG) per determinare quale tipo di exploit hai (se esiste).

Se non vuoi scaricare i file, puoi anche solo pubblicare l'URL su VirusTotal e vedere cosa dicono.

    
risposta data 20.02.2015 - 18:59
fonte
2

Il problema è che non tutto lo spam è destinato a sfruttare qualsiasi cosa. Lo spam può semplicemente pubblicizzare o essere parte di un tentativo di phishing (che non è un exploit).

La cosa da vedere qui è che gli URL tentano di nascondere dove vanno e cosa fanno. QUELLA è la cosa che determina il fatto che sono problemi. Se si desidera un modo automatico per gestire questi URL, è possibile analizzarli per determinare se utilizzano il formato URL standard, che in caso contrario.

    
risposta data 20.02.2015 - 19:02
fonte
2
http://0x1F.8847525?-zcNQec8Mqyay9MwQufAZyDUlLviGZxNBtAvdjUQniA4jIwSjug…

Componenti degli schemi URI (con la parte gerarchica espansa): 

<scheme name> : [ <userinfo> @ ] <host> [ : <port> ] [ / <path> ] [ ? <query> ] [ # <fragment> ]

Tutti questi URI hanno uno schema nome, host e query. Mentre è abbastanza raro avere una query ma non un percorso, è perfettamente valida. È anche valido utilizzare varie combinazioni di ottale, decimale ed esadecimale per un indirizzo IP come host.

L'offuscamento IP è piuttosto vecchio (e raro). Viene principalmente utilizzato per bypassare le espressioni regolari di rilevamento IP.

Ci sono sei modi per rappresentare un indirizzo IPv4 (gli esempi sono tutti lo stesso IP). Questi possono essere mescolati, sebbene le versioni non punteggiate debbano rappresentare i quad più bassi. Questo ti permette di usare 127.1 per 127.0.0.1 per esempio. Permette anche cose brutte come le combinazioni di campioni alla destra della linea tratteggiata sottostante. Tutti gli IP nel blocco sottostante sono gli stessi (il tuo IP locale). Provali in ping per vederli mappare a 127.8.16.1 

REPRESENTATION      EXAMPLE            ┊  SAMPLE COMBINATIONS (in no particular order)
dotted decimal      127.8.16.1         ┊  127.010.0x10.1    127.010.010001
dotted hexadecimal  0x7f.0x8.0x10.0x1  ┊  0x7f.010.0x1001   0x7f.8.0x10.1
dotted octal        0177.010.020.01    ┊  0177.010.010001   0177.0x8.16.01
decimal             2131234817         ┊  127.528385        127.8.4097
hexadecimal         0x7f081001         ┊  0x7f.0x81001      0x7f.010.0x1001
octal               017702010001       ┊  0177.02010001     0177.8.010001

Oltre a ciò, puoi usare il pad a zero ottale come 000177.000010.010001 ed esadecimale (dopo 0x ) come 0x0007f.0x81001 .

Gli IP decimali con punti (piuttosto che i nomi host) nello spazio IP pubblico sono estremamente rari negli URL in modalità non spam. Se stai scrivendo un filtro, dovrebbe essere sicuro di penalizzarlo (blocco a tuo rischio).

In SpamAssassin , puoi scrivere una regola come questa: 

uri  URI_OBFUSCATED_IP  m"^http://(?:[^\@]{0,99}\@)?(?!(?:[1-9][0-9]{0,2}|2(?:[0-9]{2}|5[0-5]))(?:\.(?:[1-9][0-9]{0,2}|2(?:[0-9]{2}|5[0-5]))){3}(?:[:/?\#]|$))(?:0x0{0,256}[0-9a-f]{1,8}|0{1,256}[0-9]{1,11}|[1-9][0-9]{0,9})(?:\.(?:0x0{0,99}[0-9a-f]{1,8}|0{1,99}[0-9]{1,11}|[1-9][0-9]{0,9})){0,3}(?:[:/?\#]|$)"i
    
risposta data 31.03.2015 - 04:24
fonte
0

Non ho lavorato con lo scripting dei filtri antispam, ma questo è qualcosa che ho conosciuto per un po ', sperando che questo aiuti!

Uno dei progetti Apache, denominato SpamAssassin potrebbe rivelarsi utile. Si tratta di un filtro antispam per i server di posta, ma suppongo che sarete in grado di lavorare con esso per un po 'come suite il vostro caso d'uso sul lato client. Una cosa particolarmente interessante per il tuo caso potrebbe essere spamc che è il client di SpamAssassin in particolare per gli script. Citando il link,

Spamc is the client half of the spamc/spamd pair. It should be used in place of spamassassin in scripts to process mail. It will read the mail from STDIN, and spool it to its connection to spamd, then read the result back and print it to STDOUT.

Le attestazioni sulla home page,

SpamAssassin uses a wide variety of local and network tests to identify spam signatures. This makes it harder for spammers to identify one aspect which they can craft their messages to work around.

Quindi spero che si prenderà cura degli URL criptici e altro ancora.

    
risposta data 31.03.2015 - 05:24
fonte
0

La stringa di query dopo il nome di dominio dello schema uri è probabilmente anche una sorta di id di tracciamento. Probabilmente esiste un grande database interdominio che mette in correlazione i clic con qualsiasi cosa possa essere installata sul tuo computer.

    
risposta data 31.03.2015 - 09:58
fonte

Leggi altre domande sui tag

È richiesto HTTPS quando non ci sono dati sensibili nel sito Anonimato della carta SIM prepagata nel telefono collegata all'identità reale