2015년 1월 12일 이후 세 대의 Windows PC에서 빈 메일을 받았습니다.

tag-icon tag-icon windows email outlook malware
2015년 1월 12일 이후 세 대의 Windows PC에서 빈 메일을 받았습니다.

문제

2015년 1월 12일 이후 출처를 알 수 없는 예상치 못한 빈 이메일이 전송되었습니다.

문제 해결을 위한 시도

  • 그들은 모두 내가 네트워크/시스템 지원을 하는 회사에서 왔습니다.
  • 모두 Windows 7 컴퓨터에서 가져온 것입니다.
  • 모든 기계에는 Outlook이 설치되어 있습니다
  • 이메일의 본문은 항상 비어 있습니다.
  • 사용자의 상호작용과는 아무런 관련이 없습니다. 이메일이 도착하자마자 여러 번 전화했는데 그들은 탐색 등의 일반적인 작업을 하고 있었습니다. 때로는 PC를 사용하는 사람이 없는 경우에도 이러한 메일을 받습니다.
  • 세 대의 PC 모두 2015년 1월 12일에 이 메일을 보내기 시작했습니다.
  • 시간은 관련이 없습니다 (가끔 밤에도 메일이 옵니다)
  • PC가 켜져 있을 때만 이메일을 받습니다. 예를 들어 RobertPC는 항상 켜져 있고 주말에만 이메일을 받습니다(다른 것들은 꺼져 있습니다).
  • 이메일 제목에는 몇 가지 패턴이 있습니다.

WITT - report Helios pocitac- WittPC에서 제공

WITT Lenka report- Martina PC에서 제공

WITT - Robert report- RobertPC에서 왔습니다.

그러나 "WITT Lenka 보고서"에는 하이픈이 누락되어 있습니다. 또한 "report"라는 단어가 "WITT - Report Helios pocitac"의 주제 중간에 있는 반면 다른 두 주제에서는 끝에 있습니다.

여기에 두 메일의 소스 코드를 게시합니다. 의 이메일 주소 [email protected]와 회사의 이메일 주소를 변경했습니다 company_mail@their_domain.com. 회사 이름은 WITT이며 제목의 이름과 관련이 있습니다.

Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5070519ldb;
        Mon, 2 Mar 2015 01:54:37 -0800 (PST)
X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184;
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.196])
        by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34
        for <[email protected]>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497
    for <[email protected]>; Mon, 2 Mar 2015 13:00:50 +0100
Thread-Topic: WITT Lenka report
thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT Lenka report
Date: Mon, 2 Mar 2015 10:54:31 +0100
Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

두 번째 이메일:

Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5079020ldb;
        Mon, 2 Mar 2015 02:13:46 -0800 (PST)
X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321;
        Mon, 02 Mar 2015 02:13:46 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.202])
        by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44
        for <[email protected]>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 02:13:45 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892
    for <[email protected]>; Mon, 2 Mar 2015 13:20:02 +0100
Thread-Topic: WITT - Robert report
thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT - Robert report
Date: Mon, 2 Mar 2015 11:13:47 +0100
Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

질문

이러한 이메일을 보내는 서비스나 애플리케이션은 무엇이며 소스를 추적하는 방법은 무엇입니까?

답변1

고지 사항 1: 물론 Windows에는 이와 같은 작업을 처리할 수 있는 훌륭한 감사 도구가 이미 있습니다. 불행하게도 Windows 환경에서는 시스템 관리자로서의 경험이 없고 일반 최종 사용자일 뿐입니다.

면책조항 2: 누군가 이와 유사한 문제(신비한 이메일 또는 발신 패킷)에 직면한 경우 추가 분석을 위해 이 시스템의 연결을 끊는 것이 좋습니다.

무작위로 발생하는 문제는 좋은 로깅 시스템을 사용하여 추적할 수 있습니다. 이 경우 메일 서버와 최종 사용자 PC에 로그인을 설정해야 합니다. Windows PC에는 타임스탬프, PID 및 나가는 연결 대상에 대한 로그 항목이 있어야 합니다. 데비안 서버에는 이메일이 수신된 타임스탬프와 이메일의 보낸 사람과 받는 사람에 대한 기록이 있어야 합니다. 이 두 가지 정보를 통해 어떤 프로세스가 귀하에게 이메일을 보냈는지 확인할 수 있습니다. 그렇기 때문에시간동기화가 중요하다.

과거에, 당신은 Windows 활동에 대한 그림을 얻기 위해 TCPview를 사용했습니다. 나쁜 점은 TCPView가 로깅을 수행할 수 없다는 것입니다. 따라서 이메일이 전송될 때까지 TCPview 창을 살펴보아야 합니다. 또 다른 나쁜 소식은 SMTP 트랜잭션이 매우 빠르기 때문에 눈으로 SMTP 이벤트를 포착할 가능성이 거의 없다는 것입니다.

기반이 슈퍼유저 답변, 당신은 시도 할 수 있습니다프로세스 모니터네트워크 연결과 PID를 기록하는 데 도움이 됩니다. 로그를 기록하려면 프로그램을 열어서 실행해야 하지만, 로그를 기록하면서 디스크에 로그를 저장하도록 설정한 경우 나중에 언제든지 검토할 수 있습니다.

프로세스 모니터

이 도구를 사용하면 하루가 끝날 때 로그를 실행하고 확인할 수 있습니다. 화면을 계속해서 다시 볼 필요가 없습니다.

관련 정보