翻译：360代码卫士

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

近期，研究人员设法渗透到一个SpamBot中并发现了包含7.11亿条记录的数据库，其中包含邮箱地址、邮件和密码组合（有些是明文形式）以及SMTP凭证和配置文件。这些数据可以被用来发送大量的垃圾邮件。

运营Have I Been Pwned服务的Troy Hunt称数据库包含“令人难以置信的数据”。他分析时指出，“单从规模上来讲，它几乎相当于位于欧洲的每名男性、女性和儿童都拥有一个地址。”

Onliner曾传播银行木马且包含多种数据

这个SpamBot名为 “Onliner” ，出现于2016年并因传播Ursnif银行木马而为人所知。一位名叫Benkow的研究人员数月前就一直研究并报告关于Onliner的情况；他在一个位于荷兰的Onliner服务器上找到了一个目录，并从去年所报告的多起数据泄露中抓取了50GB的数据。

Benkow指出，截止到昨天（8月29日），这台服务器仍在运转，他已通知执法部门。

另外，Benkow还从数据中发现了8000万份凭证，不过表示几乎不可能判断这些凭证的来源。他能够判断出大约200万的数据来自Facebook公司遭受的一次钓鱼攻击，而且还未有数据被收录到Have I Been Pwned中。

2016年，超过10亿个人信息如邮件地址等被泄露且遭出售或公开。Hunt指出，“这对于所有人而言都是残酷的现实：我们的邮件地址只是一种简单商品，被随意分享和交易、被恶意人员用各种钓鱼方式对我们狂轰滥炸。而这种现象就是当前网络上的生活状态。”

SMTP凭证和配置信息是关键

Benkow指出，SMTP凭证和配置信息是这些数据的关键所在。反垃圾信息解决方案、信誉服务和防火墙规则都改变了垃圾信息发送者发送垃圾信息的传统方式，即通过扫描互联网查找以开放转发模式或以弱凭证运行的SMTP服务器。

而如今想要发送垃圾邮件就需要增加额外的措施，通常是以某个网站利用开始，它导致托管一个PHP的站点被攻陷从而发送邮件或者恶意软件以感染计算机并发送垃圾邮件。然而，这些方法只有利用SMTP凭证才能大规模实施。

Benkow指出，要发送垃圾邮件，攻击者就需要拥有大量SMTP凭证。为此，他们只有两种选择：要么创建，要么购买。这对于IP也是一样，攻击者找到的SMTP服务器越多，他就越能广泛地传播攻击活动。

例如，Ursnif通过使用两个模块来发送垃圾邮件并创建了一个SMTP凭证列表。邮件地址和凭证填入模块，随后模块尝试使用这个组合发送邮件。失败的组合被忽视，而成功的组合被加入不断增长的可用凭证列表中。

数据与之前安全事件有重合

Benkow跟Hunt共享了其研究成果，后者已将数据录入Have I Been Pwned供用户查询。Hunt在所分析的文件中找到很多重叠数据，其中包括一些解析不良的数据，这表明这次数据泄露事件影响的人员可能要少于7.11亿。即便如此，单是一个文件就包含120万份邮件地址和明文密码，其中很多都可能来自LinkedIn数据泄露事件。Hunt认为很多密码可能都非常容易遭破解。

另外一份文件包含420万份邮件地址和密码，而且均来自Exploit[.]In地下论坛的一个列表。Hunt还在多份文件中发现数千份含有邮件地址、密码和SMTP服务器以及端口号（25和587）。

Hunt指出，数千份有效的SMTP账户能让垃圾邮件发送者利用大规模的邮件服务器发送垃圾信息，因此这些数据的价值很大。

到目前为止，Onliner SpamBot幕后人员身份尚不明朗。