通过 http 泄露电子邮件地址
Exfiltrate email address over http
我在我们的网络日志中看到通过 http 泄露电子邮件地址。典型的 URL 模式是:
- hxxp://54.81.149.159/pshra9h2?d=name@email-domain.com&r=0
- hxxp://54.81.149.159/usjo4qgq?r=0
- hxxp://54.81.149.159/eeje4cbk?d=$fromEmail&r=0
- hxxp://54.81.149.159/mfat4fqa?d=%7b%7blead.Email%20地址:default=noemail%7d%7d&r=0
我也在其他几个 IP 上看到了那些 URL 模式。所有IP的反向查找都说,它们属于amazon ec2。
我最初怀疑这与亚马逊 SES 服务有关,但找不到任何与 URL 相关的具体文件。有人知道这是什么吗?
Amazon EC2 是一个虚拟托管环境。分配给 EC2 的 IP 地址,如反向 DNS 中的 *.*compute*.amazonaws.com 主机名所证明,很可能 不是 提供亚马逊网络服务 (AWS) 提供的官方产品,但是更有可能分配给 Amazon 客户 租用的虚拟机(或虚拟机集群),以部署他们的应用程序。一些 AWS 官方服务在 EC2 上做 运行 并且住在同一个地址 space,但我无法识别这种流量模式。
并非所有 AWS 服务都需要 HTTPS,但 SES 需要,因此可以最终排除这种情况。此外,这些请求看起来与线上的 SES 请求完全不同。
您似乎正在与 unscrupulous/lazy/unskilled 开发者打交道,他们开发的是某种受您的用户欢迎的应用程序或服务……或恶意软件……或者使用安装在 EC2 服务器上的东西的内部开发者那不是很安全。
无论是哪种情况,阻止这些特定目的地(特定 IP 地址)似乎是一种完全合适的短期安全响应,可帮助您识别流量的真实性质。
长期或子网级别的阻止是不合适的,因为任何 EC2 客户都可以随时更改他们的 IP 地址,当合法服务随后开始使用该地址时,这可能会使您的合法服务被阻止。
这些 URL 与电子邮件跟踪有关。不同的电子邮件营销 products/campaigns 有不同的模板来创建跟踪 URL。他们中的大多数都在 AWS EC2 云平台上托管他们的服务。
我已经看到来自上述 IP 的顶级 url 模式与 marketo webhooks 相似,它允许您进行实时性能测量。他们的一个 URL 跟踪模板与我们观察到的 URL 模式一致。 responsys.com、sharecomm.org 等
提供了其他电子邮件活动管理系统
litmus 提供的另一项电子邮件跟踪服务使用相同的 IP 范围,我发现 emltrk.com。
结论是,提供托管在 EC2 上的电子邮件营销服务的公司没有安全地 (https) 配置他们的电子邮件活动跟踪 URL,因此我们在 URL 上观察到电子邮件。此电子邮件跟踪 URL 不是恶意的,仅用于生成电子邮件活动的性能度量 (KPI)。此外,这不是Amazon SES的一部分,因为1.AWS服务使用不同的DNS命名,2.SES使用安全连接,3.反向DNS具有外包EC2服务的格式。
证明假设的一些证据:
用户数与具有唯一电子邮件的流,表明大多数用户的流数非常有限。观察流量大的用户,发现是代理用户。因此,这不是由 PUA 生成或机器生成的。
URL的UserAgents是MS-Outlook,这证实这是从邮件客户端生成的。
修改邮箱取码的论坛讨论
http://developers.marketo.com/blog/integrating-slack-with-marketo/
https://litmus.com/help/analytics/how-it-works/
How does Litmus track their email analytics?
Track mass email campaigns
我也遇到过这种流量,在深入研究了几天后,我发现了这个字符串:
/gf7lo8kd?d=<div class=eloquaemail>EmailAddress</div>&r=0
如果您 google eloquaemail,您会发现它是来自 Oracle Eloqua 的营销自动化活动。
我在我们的网络日志中看到通过 http 泄露电子邮件地址。典型的 URL 模式是:
- hxxp://54.81.149.159/pshra9h2?d=name@email-domain.com&r=0
- hxxp://54.81.149.159/usjo4qgq?r=0
- hxxp://54.81.149.159/eeje4cbk?d=$fromEmail&r=0
- hxxp://54.81.149.159/mfat4fqa?d=%7b%7blead.Email%20地址:default=noemail%7d%7d&r=0
我也在其他几个 IP 上看到了那些 URL 模式。所有IP的反向查找都说,它们属于amazon ec2。
我最初怀疑这与亚马逊 SES 服务有关,但找不到任何与 URL 相关的具体文件。有人知道这是什么吗?
Amazon EC2 是一个虚拟托管环境。分配给 EC2 的 IP 地址,如反向 DNS 中的 *.*compute*.amazonaws.com 主机名所证明,很可能 不是 提供亚马逊网络服务 (AWS) 提供的官方产品,但是更有可能分配给 Amazon 客户 租用的虚拟机(或虚拟机集群),以部署他们的应用程序。一些 AWS 官方服务在 EC2 上做 运行 并且住在同一个地址 space,但我无法识别这种流量模式。
并非所有 AWS 服务都需要 HTTPS,但 SES 需要,因此可以最终排除这种情况。此外,这些请求看起来与线上的 SES 请求完全不同。
您似乎正在与 unscrupulous/lazy/unskilled 开发者打交道,他们开发的是某种受您的用户欢迎的应用程序或服务……或恶意软件……或者使用安装在 EC2 服务器上的东西的内部开发者那不是很安全。
无论是哪种情况,阻止这些特定目的地(特定 IP 地址)似乎是一种完全合适的短期安全响应,可帮助您识别流量的真实性质。
长期或子网级别的阻止是不合适的,因为任何 EC2 客户都可以随时更改他们的 IP 地址,当合法服务随后开始使用该地址时,这可能会使您的合法服务被阻止。
这些 URL 与电子邮件跟踪有关。不同的电子邮件营销 products/campaigns 有不同的模板来创建跟踪 URL。他们中的大多数都在 AWS EC2 云平台上托管他们的服务。
我已经看到来自上述 IP 的顶级 url 模式与 marketo webhooks 相似,它允许您进行实时性能测量。他们的一个 URL 跟踪模板与我们观察到的 URL 模式一致。 responsys.com、sharecomm.org 等
提供了其他电子邮件活动管理系统litmus 提供的另一项电子邮件跟踪服务使用相同的 IP 范围,我发现 emltrk.com。
结论是,提供托管在 EC2 上的电子邮件营销服务的公司没有安全地 (https) 配置他们的电子邮件活动跟踪 URL,因此我们在 URL 上观察到电子邮件。此电子邮件跟踪 URL 不是恶意的,仅用于生成电子邮件活动的性能度量 (KPI)。此外,这不是Amazon SES的一部分,因为1.AWS服务使用不同的DNS命名,2.SES使用安全连接,3.反向DNS具有外包EC2服务的格式。
证明假设的一些证据:
用户数与具有唯一电子邮件的流,表明大多数用户的流数非常有限。观察流量大的用户,发现是代理用户。因此,这不是由 PUA 生成或机器生成的。
URL的UserAgents是MS-Outlook,这证实这是从邮件客户端生成的。
修改邮箱取码的论坛讨论
http://developers.marketo.com/blog/integrating-slack-with-marketo/
https://litmus.com/help/analytics/how-it-works/
How does Litmus track their email analytics?
Track mass email campaigns
我也遇到过这种流量,在深入研究了几天后,我发现了这个字符串:
/gf7lo8kd?d=<div class=eloquaemail>EmailAddress</div>&r=0
如果您 google eloquaemail,您会发现它是来自 Oracle Eloqua 的营销自动化活动。