트렌드마이크로社 스팸필터를 우회하기 위한 새로운 방법 급증

• 트렌드마이크로(Trend Micro)社의 Jean Chen연구원은 기존에 사용되고 있는 스팸필터를 우회하기 위해
  “Salad Word”의 사용 및 새로운 도메인 주소를 이용한 E-mail이 급증하고 있음을 발견
     ※ Salad word : 의미 없는 단어들을 무작위로 나열한 단어

 

주요내용

• 트렌드마이크로(Trend Micro)는 스팸필터를 우회하기 위해 마이크로크기의 "Salad Word" 또는 기타 의미 없는
  단어들을 포함하고 있는 E-mail을 발견하여 데이터 수집 및 분석을 수행
  - 해당 E-mail은 탈모 치료, 차량 판매, 소매 쿠폰 등과 같은 광고 등으로 사용자의 호기심을 유발하는 내용을
    포함, E-mail을 읽을 경우 각각의 웹 사이트로 연결하기 위한 광고를 포함하고 있음
• 또한, 스팸필터를 우회하기 위한 기존 방식 이외에, 스팸과 연관 없는 새로운 도메인을 생성하여 서비스
  제공자들에게 호스팅하기 때문에 새로운 스팸으로 분류되고 있음
  - 등록된 도메인 중, 서비스 제공자들이 정당성을 입증하여 스팸으로 분류되지 않는 경우를 제외하고는 대부분
    스패머에 의해 악용되고 있는 것으로 확인됨
     ※ 스패머(Spamer) : 스팸을 보내는 사람 또는 스팸 메일을 발송하는 사람을 일컫는 말
• 스팸을 발송한 IP들의 대부분은 캐나다에 위치한 호스팅 업체에서 공급되었으며, 그 외 나머지 IP주소들은
  미국에 기반을 두고 있는 것으로 밝혀짐
   - 새로 등록된 도메인을 기반으로 과거 스팸을 전송했던 스패머들의 E-mail 주소, URL을 활용하여 재전송하기
     때문에 짧은 시간에 많은 양의 스팸을 전송한 것으로 파악
   - 스팸 전송 이력이 없는 새로 등록된 도메인을 스패머의 거점으로 악용하고 있음
   - 스팸메일을 읽기 위해 클릭하는 경우, E-mail 내부에 숨겨진 스팸 웹 사이트로 연결

< 시간대별 스팸발생 값 >

• 트렌드마이크로의 분석에 따르면 스팸의 발송은 특정시간대에 주로 발생하며, 하나의 IP주소가 아닌 여러 IP
  주소를 통하여 발송되는 것으로 밝혀짐

< 다양한 IP를 통해 실행되는 스팸 >

• 피해를 받은 IP주소를 분석한 결과, 약 85%는 미국에 위치해 있으며 그 외 독일, 캐나다, 영국, 뉴질랜드 등의
  국가들이 피해를 받은 것으로 분석됨

 

[출처]
1. http://blog.trendmicro.com/trendlabs-security-intelligence/spam-run-exploits-unlikely-resources/