Exfiltrate адрес электронной почты через http

Я видел exfiltrate адрес электронной почты через http в наших веб-журналах. Типичный шаблон URL:

  • hxxp: //54.81.149.159/pshra9h2 d=name@email-domain.com&r=0
  • hxxp: //54.81.149.159/usjo4qgq г = 0
  • hxxp: //54.81.149.159/eeje4cbk d=$fromEmail& г = 0
  • hxxp: //54.81.149.159/mfat4fqa д =%7b%7blead.Email%20Address: по умолчанию =noemail%7d%7d& г = 0

Я видел эти шаблоны URL на нескольких других IP-адресах. Обратный поиск всех IP-адресов говорит, что они принадлежат amazon ec2.

Сначала я подозревал, что это связано со службой Amazon SES, но не смог найти никакого конкретного документа, связывающего URL-адреса. Кто нибудь знает что это?

Источник

3 ответа

Решение

Эти URL связаны с отслеживанием электронной почты. Различные продукты / кампании электронного маркетинга имеют различные шаблоны для создания URL-адресов отслеживания. Большинство из них размещают свои услуги на облачной платформе AWS EC2.

Я видел, что верхние шаблоны URL-адресов из вышеупомянутых IP-адресов имеют сходство с веб-крючками marketo, что позволяет измерять производительность в режиме реального времени. Один из их шаблонов отслеживания URL-адресов соответствует нашим наиболее часто встречающимся шаблонам URL-адресов. Существуют и другие системы управления кампаниями, рассылаемые по электронной почте.

Другая служба слежения за электронной почтой, предоставляемая Litmus, использует тот же диапазон IP-адресов, и я обнаружил emltrk.com.

Вывод заключается в том, что компания, предлагающая почтовый маркетинговый сервис, размещенный на EC2, не настроила свой URL-адрес для отслеживания кампании по электронной почте (https), и поэтому мы наблюдаем электронную почту в URL-адресах. Эти URL отслеживания электронной почты не являются вредоносными и используются только для создания показателей эффективности (KPI) в кампании по электронной почте. Кроме того, это не является частью Amazon SES, потому что: 1. Сервисы AWS используют разные имена DNS, 2. SES использует защищенные соединения, 3. Обратный DNS имеет формат аутсорсинговой службы EC2.

Некоторые доказательства, подтверждающие гипотезу:

  1. Количество пользователей против потоков с уникальными электронными письмами показывает, что большинство пользователей имеют очень ограниченное количество потоков. Наблюдение за пользователями с большим количеством потоков показало, что они являются прокси-пользователями. Следовательно, это не генерируется PUA или машиной.

  2. UserAgents URLs MS-Outlook, это подтверждает, что это сгенерировано из почтового клиента.

  3. Обсуждение на форуме модификации кода, принимающего электронную почту

http://developers.marketo.com/blog/integrating-slack-with-marketo/

https://litmus.com/help/analytics/how-it-works/

Как Litmus отслеживает свою аналитику электронной почты?

Отслеживайте массовые почтовые кампании

Источник

Я также испытал этот трафик, и, покопавшись в нем пару дней, я нашел следующую строку:/gf7lo8kd?d=<div class=eloquaemail>EmailAddress</div>&r=0

Если вы воспользуетесь электронной почтой eloquaemail, вы обнаружите, что это кампании по автоматизации маркетинга от Oracle Eloqua.

Источник

Amazon EC2 - это среда виртуального хостинга. IP-адрес, выделенный для EC2, о чем свидетельствует *.*compute*.amazonaws.com имя хоста в обратном DNS, скорее всего, не предоставляет официальный продукт, предлагаемый Amazon Web Services (AWS), но, скорее всего, будет назначено виртуальной машине (или кластеру виртуальных машин), которую арендовал клиент Amazon, для развертывания своих приложение. Некоторые официальные сервисы AWS работают на EC2 и живут в одном и том же адресном пространстве, но я не знаю эту схему трафика.

Не все сервисы AWS требуют HTTPS, но SES делает, так что это может быть окончательно исключено. Кроме того, эти запросы не похожи на запросы SES в сети.

Похоже, вы имеете дело с недобросовестным / ленивым / неквалифицированным разработчиком какого-либо приложения или службы, популярного среди ваших пользователей... или вредоносных программ... или внутренним разработчиком, использующим что-то, установленное на сервере EC2, который недостаточно защищен,

Независимо от того, какой из этих случаев может иметь место, блокирование этих конкретных пунктов назначения (определенных IP-адресов) представляется вполне приемлемым краткосрочным ответом безопасности, который поможет вам определить реальную природу трафика.

Долгосрочная блокировка или блокировка на уровне подсети не подходит, потому что любой клиент EC2 может изменить свой IP-адрес в любое время, что может привести к блокировке законных служб, когда впоследствии законный сервис начнет использовать этот адрес.

Источник
Другие вопросы по тегам