史蒂夫拉冈原创自《反病毒排行榜》 　　

　　

　　原文链接：3359 anti virus rankings . com/spammers-expose-whole-operation-through-bad-backups 　　

　　

　　这是一个关于垃圾邮件公司River City Media(RCM)的故事。该公司的阿尔文斯诺马库斯和马特费里斯意外地将公司的全部运作公之于众未能正确配置他们的Rsync备份。 　　

　　

　　MacKeeper software的安全研究员克里斯维克里(Chris Vickery)发现了这一著名而狡猾的垃圾邮件操作的数据，并将其分享给Salted Hash、反垃圾邮件组织Spamhaus以及相关执法机构。 　　

　　

　　虽然安全从业者对垃圾邮件发送者和他们的方法很熟悉，但这个故事为我们提供了一个深入了解他们日常操作的难得机会。 　　

　　

　　有点不太对劲 　　

　　

　　"如果您尚未更改Skype和Hipchat的密码，请尽快更改。"阿尔文斯诺马库斯2月初在HipChat上写道。 　　

　　

　　他怀疑公司遭到了黑客攻击。在整篇新闻中，他力劝大家更改“我们过去可能存储了任何信息”的密码。 　　

　　

　　他的假设是错误的，公司并没有受到黑客的攻击。但现实情况是，RCM仍然存在严重的数据泄露问题，他们负有直接责任。此时，他们的备份已经暴露了一个多月. 　　

　　

　　维克里发现了一切。从Hipchat日志和域名注册记录，到会计细节、基础设施和生产说明、脚本和业务关系。此外，13.4亿个电子邮件帐户是在维克里发现的。这些是会收到垃圾邮件的账户，RCM称这种行为为“为这些账户提供信息”。其中一些记录还包含个人信息，例如全名、现实地址和IP地址. 　　

　　

　　“我的自然反应是质疑数据集是否真实。”维克里在他的笔记中解释了这个发现。 　　

　　

　　“那是我的第一反应。现在，我仍在努力寻找最佳的软件解决方案来处理如此庞大的数据集，但我问过一些我认识的人，条目是准确的。唯一可取的是，其中一些已经过时好几年了，研究对象也不再住在同一个地方了。” 　　

　　

　　RCM用来规避反垃圾邮件措施的数千个预热电子邮件帐户也在维克里被发现。总的来说，他发现的大多数个人记录和电子邮件地址都是通过一个名为CoReg的联合注册项目收集的。 　　

　　

　　CoReg的电子邮件来自那些在线注册用户，他们的地址被网站第三方或合作伙伴分享. 　　

　　

　　“没有人会故意把自己的邮箱地址给垃圾邮件发送者，所以后者肯定是欺骗了他们。通常，该公司会提供某种形式的“免费礼物”来交换您的电子邮件地址和个人信息。 　　

　　

　　之后，公司可以与他们的“合作伙伴”共享这些地址和信息，“合作伙伴”最终将成为他们合作伙伴的合作伙伴，他们合作伙伴的合作伙伴，直到地球上的每个垃圾邮件发送者都有他们的地址。Spamhaus的迈克安德森解释说。 　　

　　

　　他继续解释说，这样的地址列表是该行业和不断通过跟踪系统对其分析，检查哪些地址正在浏览垃圾邮件广告，哪些地址正在点击垃圾邮件广告，哪些地址正在购买它们.的命脉 　　

　　

　　“同时，原来的地址交接合同也没有履行，因为几乎不可能兑现‘免费赠送’。”当然，这些地址都没有经过确认程序，所以无法辨别填写的地址是真是假。" 　　

　　

　　在这个故事中，我们将讨论RCM的财务和运营，但应该注意的是，这些数据只是从备份中获得的快照。许多记录是截至2017年1月的最新记录，而其他记录的最后更新时间是2016年12月。 　　

　　

　　在查阅了一些文件并花了无数天研究咸哈希和维克里的操作后，斯帕姆豪斯得出结论，RCM在一些活动中一直在使用非法IP劫持技术. 　　

　　

　　相关执法部门已经意识到他们的违规行为，并揭露了可疑活动。不过这个我们不能透露，因为涉及的机构不能对没有判决或者正在调查的案件发表评论。 　　

　　

　　Spamhaus将对与此事件相关的所有IP地址和其他滥用行为采取行动。问题是像RCM这样的组织使用了大量的别名和附属程序，所以虽然屏蔽他们的基础设施有一些效果，但不能保证它会永远关闭。 　　

　　

　　关于通知，维克里说他和RCM没有直接联系。 　　

　　

　　“一旦我们得出结论，它确实与犯罪行为有关，我们将在试图直接联系垃圾邮件发送者之前，联系执法部门和受影响的公司(如微软和雅虎)。在通知执法部门和大公司的过程中，泄露的服务器是隐藏的，所以我没有直接联系垃圾邮件发送者。” 　　

　　

　　River City Media 　　

　　

　　――ROKSO十大运营机 　　

构

　　

已知垃圾邮件操作登记（ROKSO）数据库由Spamhaus维护，该组织致力于打击垃圾邮件。ROKSO跟踪专业的垃圾邮件运营，并使用三击规则（three-strike rule）记录其行动。在该数据库索引的数十个运营商中，其中一个是Cyber World Internet Services的所有者阿尔文斯洛科姆。

　　

斯洛科姆还与其他一些化名相关联，包括e-Insites、Brand 4 Marketing、Ad Media Plus和Site Traffic Network。他经常与马特费里斯及其公司RCM保持联系。

　　

总之，RCM公开的数据将该组织在过去两年里与20多个业务合作伙伴联系了起来，并显示该组织有30多个化名，包括RCM Delivery、Peasant Valley Marketing Group、eBox和Wharton Dynamics, Inc.。

　　

RCM的数据泄露还暴露了该组织的内部资产、2,199个用于公众活动的IP地址、RCM为过去的活动以及当前和未来的业务所确定的60个IP地址块，以及经常轮换使用的140个活跃的DNS服务器。

　　

根据活动日志记录文档，数据泄露还暴露了300多条活跃的邮件交换记录。仅在两个电子表格中，RCM就记录了近100,000个他们活动的域。

　　

如前所述，维克里发现了成千上万个用于预热的电子邮件帐户。这些预热帐户是RCM员工用计算机生成和维护的。它们的使用和创建基本上违反了创建它们的大型电子邮件提供商的服务条款（TOS）。公开的RCM记录里显示了Gmail、AOL、Hotmail和Yahoo的预热账号，但肯定还有其他的电子邮箱。

　　

流程如下：RCM将某个活动的消息发送到这些预热账号。由于这些账号不会从这些消息中生成投诉（毕竟他们也不会抱怨自己），因此电子邮件服务提供商或附属程序会将他们列入发件人白名单。一旦有了坚实的信誉基础，他们就准备用垃圾邮件冲击其他账号。

　　

如果垃圾邮件被拒收，或以其他方式被转储到垃圾邮件或垃圾文件夹中，或其给定域被列入黑名单，RCM将返回一个包含数千个域的列表，并选择另一个域重新启动进程。

　　

在某些情况下，RCM会使用过去的域。这些老域名很有价值，因为新注册的域名会立马就会受到怀疑，特别是如果新域名从未发送过电子邮件。RCM泄露的一些文件显示，他们计划通过拍卖购买旧域名。其他批量购买的域用来预热，等到具有良好的使用时长和声誉后再使用。

　　

如果被发现发送垃圾邮件，RCM会删除并替换正在使用的域。附属ID的过程与上述是相同的。但是，斯洛科姆和费里斯与供应商和营销伙伴之间关系良好，所以几乎没有风险。

　　

例如：2016年12月，其中一个暴露的聊天记录显示斯洛科姆向费里斯解释，他们的好友迈克波姆“与Alpnames（域名注册商）所有者是非常亲密的朋友，因此如果出现任何问题告诉我，我会看看他是否会与我们合作/不会把我们拉下来。”

　　

业务联系

　　

Alpnames在Spamhaus的滥用域名注册商列表中排名第一。Spamhaus称，现在他们似乎更喜欢与垃圾邮件制造者合作，提供注册折扣，并保证不会因为滥用域名而被取消。但是Alpnames并不是唯一突出的业务联系， EmailTraffic.com也是如此。

　　

EmailTraffic.com聘用肖恩麦考恩作为数据管理总监，但是在RCM聊天日志中，麦考恩也被称为MX。他是佛罗里达州MXLeads的所有者，同时也是RCM另一个合作伙伴Fenix Network的幕后支持者。

　　

在RCM聊天日志中，麦考恩因为他的脚本编写工作而受到尊重。他使RCM可以利用许多提供商来发送垃圾邮件。这样的示例包括Apple（Mac、me、iCloud）以及Hotmail、Gmail、AOL等。Salted Hash与所有供应商联系，与之共享了数据泄露所暴露的脚本和注释。为了以防万一，我们不会发布这些内容或介绍细节。

　　

EmailTraffic.com的CEO是斯特凡汉斯曼，他也是Domainers Choice的CEO。Domainers Choice是中国南京域盎软件科技有限公司旗下的公司。2016年，美国总统办事机构将南京域盎软件技术有限公司列入“恶名市场”名单，因为该公司与非法网络药店有联系。

　　

根据RCM公开的记录，该公司从Domainers Choice中获得了很多域名，并使用MXLeads或Fenix Network处理点击跟踪和退订。Youngstown Systems LLC的发展加强了这些公司与RCM之间的联系。Spamhaus称，Youngstown可能是一家假冒的互联网服务供应商（ISP）。

　　

Youngstown在EmailTraffic.com上有邮件往来记录，而A记录则指向了Fenix Network。公开的文件表明该ISP是麦考恩和RCM之间的某种合资企业，但事实可能并非如此。

　　

最后，还有TierPoint，一家与阿尔文斯洛科姆和Cyber World Internet Services有关系的合法ISP。它们是“Cyber World”与互联网其余部分的唯一链接。RCM公开的IP记录显示，斯洛科姆在处理各种活动时会跟踪TierPoint IP地址。Salted Hash向TierPoint、MXLeads和Domainers Choice提问征求评价，但截止本文发布，只有TierPoint做出了回应。

　　

在一份声明中，Tierpoint发言人不愿对费里斯、斯洛科姆、RCM或Cyber World Internet发表评论。

　　

“我们可以告诉你的是，我们为5,000多个客户提供服务，其中许多是托管公司。作为我们与其中一些公司协议的一部分，我们分配了一部分IP地址，这些客户（或他们的客户）可以使用这些IP地址。在任何情况下，如果我们收到来自执法机构的正式通知，怀疑存在非法活动、垃圾邮件或其他行为，我们将与执法机构密切合作，并采取一切适当措施保护我们更大的客户群、设施和网络。”

　　

――Tierpoint

　　

除此之外，RCM泄露的文件还显示了Tierpoint的紧急联系人Dan S.和用户名alvinslobocombe（阿尔文斯洛科姆）。此外，泄露的工程聊天日志显示斯洛科姆正在使用Tierpoint服务器讨论。

　　

在公开的RCM数据中，我们可以发现，业务关系是RCM运营的核心。