Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts by Francisco Pardo remove filter
Unicode 正規化を悪用した URL の不明瞭化
Francisco Pardo | 05 Aug 2011 | 0 comments

スパマーは、メールフィルタを回避する新しい方法を見つけるためなら休むことはありません。これはスパマーが成果をあげるためにきわめて重要なことです。最近、スパマーがスパムサイトをポイントしている URL の特定の文字を、類似または等価の Unicode 文字に置き換えているスパムメッセージが、少数ながら安定した数観察されています。これは、URL を不明瞭化して解析しにくくする新たな手法です。

この技法がどのように機能するかを理解するには、Unicode 規格について少し知っておくと便利です。Unicode には、幅広い範囲の文字を指定するのに加えて、類似または等価の文字を単一のフォームに変換する正規化規則も用意されています。たとえば、各種 Unicode 正規化フォームでは、丸数字は通常の数字と等価と見なされます。スパマーが見出した今回の最新の URL 不明瞭化技法では、メールクライアント(Web ベースの電子メールの場合は Web ブラウザ)において適切な Unicode 正規化を URL に適用するための HTML レンダリングエンジンが利用されます。

たとえば、スパムメッセージに次のURL が含まれているとします。

http://example․ⅼy/xyz

一見すると、ピリオド(ドット)は通常のドット文字のように見えますが、実際には Unicode 文字 U+2024(1 点リーダー)に置き換えられています。トップレベルドメインの「l」も、通常のラテン文字「l」に見えますが、実際には Unicode 文字 U+217C(小文字のローマ数字 50)です。Web ブラウザまたはメールクライアントの HTML レンダリングエンジンによってこの URL が処理されると、通常は Unicode 正規化が適用され、「1 点リーダー」文字が通常のドットに、「小文字のローマ数字 50」が通常の「l」文字に置き換えられるため、ユーザーはスパムサイトにアクセス可能になります。この処理は次のように行われます。
 

...

Read more
Spammers Take Advantage of Unicode Normalization to Hide URLs
Francisco Pardo | 03 Aug 2011 | 0 comments

by Francisco Pardo and Nick Johnston

Spammers are never idle when it comes to finding new ways to bypass mail filters—after all, this is crucial to a spammer's success. Recently, we've seen a low but steady number of spam messages in which spammers are replacing certain characters in URLs (which point to spam sites) with Unicode characters that look similar or identical. This is yet another way of obfuscating URLs in an attempt to make it more difficult to analyze them.

To understand how this technique works, a bit of knowledge of the Unicode standard is helpful. As well as specifying a large repertoire of characters, Unicode also provides normalization rules for converting similar and/or equivalent characters to a single form. For example, under various Unicode normalization forms, an encircled number is considered equivalent to the corresponding ordinary number. This latest spammer-led URL obfuscation technique relies on the HTML-rendering...

Read more
Beware of Spammers Offering Tax Help
Francisco Pardo | 31 Mar 2009 | 0 comments

During hard economic times, people look for ways to save money. Spending money on necessities such as tax preparation is no exception. Recently, spammers have been offering ways to save money on tax preparation as a means to enter a user’s inbox.
 
Below are some examples of subject lines spammers are using to lure users into opening messages:

 

File Your Returns Now!
TaxAct Online Home of the Totally Free federal tax return.
Prepare Free Print Free IRS e-file FREE
Click the link below to start your tax return


These messages are not just limited to taxpayers in the United States. Since spammers are part of  international underground corporations, other countries fall victim to spammers’ tactics as well. Our technicians have monitored emails directed to the people of France using the same principle. Here is an example:


Madame,...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,797