Классификация методов спам рассылок и методы анализа

О спаме написано довольно много разных материалов, но я не буду вдаваться в распространённые всеми известные описания, а коснусь текущих на данный момент разновидностей спам рассылок и некоторых приёмов определения потенциальных спамеров.
Итак, первый метод — Dialup.

Данный метод применяется в 85%p спам рассылок, в подавляющем большинстве в связи из-за большой распространённости продуктов Microsoft на домашних компьютерах. Ни для кого это не является секретом, но Microsoft, по сути, виноват в столь массовом распространении спама. По мере осознавания потери прибыли от недостаточных продаж различных версий Windows, а также с ростом «пиратских» копий, Microsoft начала ужесточать правила лицензирования своих продуктов, выпустив сначала Windows XP SP2, а после этого выпустив принудительно устанавливающуюся под видом невинного апдейта WGA(Windows Genuine Advantage). Windows XP SP2 содержал ряд критических обновлений в RPC(Remote Procedure Call), без которых можно было элементарно получить доступ к системным ресурсам целевой машины. В связи с тем, что после установки SP2 Windows XP фактически переставала работать(из-за внесения в черные списки группы серийных номеров), пользователи отказывались от установки SP2 на свои компьютеры. Новые обновления не ставились на компьютеры с SP1 и таким образом спамеры получили доступ ко многим машинам, фактически лишенным какой-либо защиты. При помощи специальных утилит, использующих уязвимости системы, спамеры воровали аккаунты пользователей и использовали их для безлимитного доступа в сеть, а также для получения новых жертв и новых аккаунтов. Основной методикой рассылки спама было использование MAPI на компьютерах жертв, т.к. всякий любящий себя пользователь настраивал Microsoft Outlook Express на свои почтовые аккаунты и хранил адресные книги у себя на компьютере, тем самым увеличивая в геометрической прогрессии рост базы рассылок. Для противодействия данному типу спам атак были сформированы так называемые «блокирующие листы» (например dul.ru), которые содержали в себе списки сетей провайдеров интернета, предоставлявших dialup доступ ко всемирной сети.

В связи с массовым переходом на adsl соединения, старые методы переставали работать, т.к. adsl роутеры защищали машины от прямого вторжения. Поэтому спамеры стали использовать вторую огромную дырку в системе безопасности Windows XP. Microsoft сделала непростительную ошибку во второй раз, когда дала пользователям системы безграничные администраторские права получаемые при первой активации и регистрации пользователя в системе. Используя дырки в системе безопасности Internet Explorer, атакующая сторона зачастую получала доступ к компьютеру жертвы быстрее, чем в предыдущем рассмотренном случае, т.к. отпала необходимость сканировать сети в надежде поймать машину без SP2. Внедренные в незащищённую систему спаммашины сами говорили, что они готовы принять новый заказ и отправляли подробный отчет о конфигурации зараженной системы владельцу ботнета. Основной упор в распространении вирусов и спам машин был сделан на сайты с серийными номерами программных продуктов и порнопорталы, на которых предлагалось скачать и установить программы для безграничного доступа к различным запрещенным ресурсам. С появлением adsl подключений в принципе отпала необходимость в поиске на компьютере жертвы адресных книг, т.к. спамеры получили в качестве инструмента огромное количество машин на высокоскоростных каналах, позволяющих увеличить количество рассылок в несколько десятков раз.

Однажды в руки спамеров попала база доменных имён с одного из европейских корневых DNS серверов и начался новый виток спама. Спам стал рассылаться по глобальному списку доменов на самые распространённые адреса типа info, sale, director и т.д., одновременно с этим были запущены боты которые искали почтовые адреса на поисковых системах, ибо поисковые сайты не делили контент на адреса и просто текст. Начали создаваться первые спам машины, которые могли рассылать до 100.000 писем одновременно. В настоящие дни проблемы dialup сетей стоят на первом месте по спам атакам. Решения таких проблем фактически нет, потому что в публичных dsl сетях зачастую находятся компании, которые имеют почтовые релеи наравне с остальными участниками сети. Блокировка всех под корень на отправку почты нарушает договор о предоставлении услуг интернета, поэтому dsl сети являются самым распространённым механизмом рассылки спама.
Метод второй. Open Relay.

По мере развития сетей общего доступа многие компании предпочли перенести расположение почтовых ящиков с серверов провайдеров на свои личные сервера установленные внутри компании, это улучшило скорость доставки писем, экономило дорогой трафик, а также увеличивало безопасность переписки. Параллельно с развитием интернета происходило развитие почтовых служб и операционных систем. На базе Linux и BSD систем поднимались почтовые шлюзы, изначально встроенные в эти системы. К сожалению, в связи с недостаточной квалификацией системных администраторов, изучавших новые для себя системы, а также с изначально неверными настройками почтовых систем по умолчанию, многие сервера были настроены на приём и пересылку почты от любых отправителей любым получателям. Обычным сканом по mx записям, обслуживающим тот или иной домен, спамеры вычисляли почтовые сервера и после некоторых проверок производили массовые рассылки через них, если сервер был ненастроен. Преимуществ у этого метода больше чем у остальных, в первую очередь потому, что почтовые сервера обладали большой рассылочной способностью, а также возможностью доставлять письма в течении долгих промежутков времени, при недоступности принимающего сервера или перегруженности канала.
Метод три. Open Proxy.

По мере того как интернет каналы приходили в каждый офис, системные администраторы для экономии трафика устанавливали кеширующие прокси сервера, но, опять же, из-за неверных базовых настроек такие сервера могли обеспечивать проксирование smtp сессий путём проброса пакетов от любого отправителя к любому серверу. Также в open proxy можно включить web based mail сервера, которые позволяли производить работу с почтой через web интерфейс. При помощи обхода систем авторизации спамеры рассылали с фиктивных ящиков огромное количество спама.

Классификацию основных методов доставки спама мы рассмотрели, теперь рассмотрим детали, которые помогают идентифицировать хост как спаммашину.
Подмена адреса отправителя:

Используется в 99,9%p случаев, исключением являются рассылки инициированные с инфицированных машин через MAPI. Во времена зарождения спама использовались случайные наборы букв для описания доменного имени, но, с течением времени, когда сервера научились проверять валидность домена, данная технология потеряла смысл и рассылки стали производиться по большим доменным спискам.
Кривой адрес получателя:

В связи с тем, что множество почтовых адресов было получено через поисковые системы, многие адреса получателей были исковерканы за счет неверной обработки тегов HTML страниц. В найденные адреса используемые спамерами стали просачиваться криво обработанные теги, таким образом возникли адреса вида =3Dvasya@pupkin.ruЭтот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script , vasyavasya@pupkin.ruЭтот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script и т.д. Проводя анализ получателя по таким ошибкам обработки, можно практически со 100%p точностью определить, спамит текущий клиент или нет. Метод проверки малоэффективен, т.к. в большинстве своём такие адреса отвергаются принимающей почтовой системой при проверке наличия пользователя на сервере в команде RCPT TO.
Подмена HELO:

При подключении отправляющего сервера к принимающему, отправитель представляется именем другого сервера (например gmail.com, yahoo.com и т.д.) в надежде на то, что данные сервера присутствуют в белых антиспам списках на сервере. Некоторое время назад политика подмены helo изменилась. Ранее, спамеры подставляли hostname, полученный от провайдера в fqdn виде, теперь на части ботнетов в качестве helo передаётся один из mx домена ложного отправителя. Не так давно стала использоваться методика рассылки с доменов, которые были переведены на outsourcing в google или yahoo. В качестве helo выдаются dns имена почтовых релеев gmail и yahoo обслуживающих домен.
Подмена заголовков:

При пересылке письма формируется кривой заголовок, чтобы сбить с толку спам фильтры, таким образом спамер пытается показать что письмо пришло просто из внутренней подсети и прошло через правильный почтовый сервер.

Теперь об ошибках спаммашин, которых не видно явно в письмах, но видно при просмотре логов системы.
HELO не совпадает с доменом отправителя:

Обычно в качестве helo спамеры, как говорилось выше, подставляют fqdn, полученный от провайдера. Зачастую отправляющий хост получает от провайдера fqdn соответствующий текущей подсети и географическому расположению сегмента этой подсети, а представленный домен отправителя не относится к данному территориальному положению этого хоста. Пример: отправитель lakurt@one.ltЭтот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script и helo vmx.rh.com.redcondor.net.
HELO содержит localhost или localhost.localdomain:

В основном это указывает на криво написанный рассылочный скрипт или открытый ненастроенный почтовый релей.

IP при соединении не совпадает с геозоной домена отправителя: Самая распространённая ошибка спамеров, когда домен отправителя например spamnet.ru не совпадает с геозоной ip отправителя a10-10-10-10.broadband.com.br.
Несовпадение геозон MX отправителя и геозоны отправляющего адреса:

Тоже одна из распространённых ошибок, но зачастую попадают валидные домены. В большинстве случаев MX и принимает и отправляет почту, а IP отправляющего сервера находится в одной и тойже подсети что и IP работающий на приём. Спаммашины рассылают письма от доменов для которых MX живёт в абсолютно другой геозоне, точность таких попаданий примерно 60%p. Но с большими корпорациями возникают проблемы, потому-что пользователи больших корпораций при использовании разнесенной корпоративной почты, могут например отправлять письма из голландии для домена зарегистрированного в США, что приводит к ложным срабатываниям.
IP адрес в helo и hostname:

Спамеры не могут изменить reverse DNS запись, полученную от провайдера при подключении отправляющего хоста к принимающему. В большинстве своём, провайдеры создают обратные зоны для своих подсетей в которых указывают к какому провайдеру принадлежит тот или иной IP и значение этого IP. Основные маски IP адресов бывают нескольких видов.

* Первый:IP адрес в прямом виде 82-44-219-234.cable.ubr10.haye.blueyonder.co.uk
* Второй: IP адрес в виде hex p54A0E2BF.dip.t-dialin.net
* Третий: IP адрес в decimal виде 189019234225.dsl.telesp.net.br

Есть разновидности, которые не включают в себя IP адреса, а только номера сетей или хостов.
Ошибки в имени отправителя:

Т.к. в большинстве своём имя генерится случайно, зачастую бывает так, что соотношение гласных и согласных букв в имени отправителя попросту не вписывается ни в какие рамки, обычно это признак спама.
Ошибки в msgid:

Есть разновидность спаммашин, которые генерируют msgid, используя имя отправителя. Например: Сообщение от asdqweasd@somehost.comЭтот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script будет иметь msgid <12301231234$123123$43535@asdqweasd>, к сожалению, анализ данной особенности возможен только после приёма письма.

В принципе, на основе вышеприведенных признаков возможно построение антиспам фильтров, которые смогут обеспечить эффективность до 98%p. В такой системе возможны ложные срабатывания, но они при правильной политике блокировки нивелируются занесением в белый список доменов или хостов/подсетей ошибочно определенных как спам. Также большую эффективность даёт помещение подозрительных хостов в серые списки. Использование серых списков для полноценной фильтрации спама на текущий момент малопригодно, т.к. спамеры стали использовать механизмы, которые обходят такие фильтры. Эти методы не являются панацеей от спама, т.к. есть, например, паблик подсети в Корее, Индии или Китае, которые не имеют никаких идентификационных признаков хоста отправителя. Фильтрация по IP геозонам отчасти решает данную проблему, но после первого рубежа защиты по основным признакам, лучше использовать bayes фильтры, способные по определенным параметрам оценить прошедшую фильтры корреспонденцию.

К сожалению, спамеры научились обходить большое количество bayes фильтров используя методы замусоривания bayes баз при помощи добавления случайного, ничего не значащего текста в письма. При этом основная информация, как правило находится в графическом файле, внедренном в тело письма. Для обхода детекторов телефонов и ICQ номеров, спамеры используют сходные по начертанию символы, вместо нуля – буква 0, вместо буквы З – цифра три, вместо буквы и – буква u. Методы, используемые к коммерческих фильтрах, связанные с вычислением контрольных сумм частей принимаемых сообщений и складирование этих сумм в базы, имеют эффективность только в середине рассылки. В связи с тем, что информация по таким рассылкам не может обновляться на большом количестве серверов в реальном режиме времени, а спамеры используют огромное количество машин и механизмы, изменяющие содержимое сообщений, первая волна рассылок всё равно попадает в ящики пользователей. Компании, предоставляющие бесплатный доступ к web почте (mail.ru, rambler.ru) используют в своих системах обнаружения спама смешанные механизмы.

Одним из основных механизмов отсеивания спам сообщений является использование различных видов DNSBL(DNS based black list), списков от ведущих компаний ведущих общедоступные реестры спамерских адресов. Одним из лидеров является spamhaus.org который имеет в своём наборе три различных вида списков:

* SBL Spamhaus Block List – содержит в себе список проверенных и выверенных спам маших и подсетей.
* XBL Exploits Block List – содержит в себе список инфицированных машин, открытых прокси различных видов
* PBL Policy Block List – содержит в себе список диапазонов IP адресов с которых не рекомендуется принимать почту.

Есть огромное количество популярных DNSBL списков, но самая большая проблема в использовании списков заключается в том, что в эти списки зачастую попадают совершенно невинные сервера. А извлечение серверов из таких списков может превратиться в длинную историю с неприятным продолжением.

Еще одним механизмом ограничения спама является SPF(Sender Policy Framework), который позволяет системным администраторам описать определенные поля, содержащие IP адреса серверов и правила приёма почты с конкретного почтового домена. Но, к сожалению, технология SPF на данный момент не получила широкого применения из-за отсутствия доступных механизмов редактирования DNS зон на арендованных у провайдера хостинг-площадках. Возможно, в будущем данный механизм позволит эффективно блокировать спам трафик, но это будет работать в том случае если процентов 60-70 всех почтовых доменов получат соответствующие SPF записи в DNS.

Технологии распространения спама растут пропорционально новым методам борьбы со спамом. К сожалению, такова жизнь, но это неплохо, значит прогресс на месте не стоит.

Добавить комментарий

всё о почтовых и курьерских услугах