Спам, который не ловит никто!

[Сергей Ильин 1538]

Не смотря на то, что я сейчас использую сразу несколько спам фильтров. Первый - на движке Касперского, второй - персональный антиспам на основе байеса.

Понятно, что алгоритмы работы их разные, но все равно один из видом спама через все это слегкость проходит, не смотря на массовость, я получаю штук по 20 таких писем в день (про его смысловую составляющую я молчу, я ее так и не понял :? ).

При этом люди не придумали что-то такое супер, они пользуются всем известными методами:

1. Случайный тест

2. Картинка со специальными зашумлениями

3. случайные имена отправителей письма

Я более чем уверен, что проблема не в антиспамах, которые я использую, подобный спам приходит и моим знакомым, а она глубже - такой спам вообще нельзя 100% детектить. Если это не так, постарайтесь меня переубедить :-)

И так, пример такого спама в студию.

Заголовок

Return-Path: <muqxydzcutu@struttandparker.com>

Delivered-To: glavbuh@anti-malware.ru

Received: (qmail 11356 invoked from network); 5 Oct 2006 00:34:47 -0000

Received: from unknown (HELO mss.avp.ru) (212.5.80.4)

by mx1.masterhost.ru with SMTP; 5 Oct 2006 00:34:47 -0000

Message-ID: <000e01c6e815$fb6fc040$89225d3b@sanjud38c90a61>

From: "are" <muqxydzcutu@struttandparker.com>

To: glavbuh@anti-malware.ru

Subject: emailed to Alerts. Terms

Date: Thu, 5 Oct 2006 06:04:13 -05-30

MIME-Version: 1.0

Content-Type: multipart/related;

type="multipart/alternative";

boundary="----=_NextPart_000_000A_01C6E844.1527FC40"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2900.2869

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962

X-KHS-Domain-ID: 20051

X-KHS-Message-ID: 1814372

X-SpamTest-Group-ID: 00000000

X-SpamTest-Info: Profiles 324 [Oct 04 2006]

X-SpamTest-Method: none

X-SpamTest-Rate: 0

X-SpamTest-SPF: none

X-SpamTest-Status: Not detected

X-SpamTest-Status-Extended: not_detected

X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0242], KAS30/Release

[Ego1st 95]

да про картингу давно уже где-то разговаривали, что анти-спамы их неловят!

[Z 0]

ловится с полпинка и с хорошим score. только AS правильный иметь нужно

[broker 30]

такой спам вообще нельзя 100% детектить

если говорить ТАК категорично, то никакой СПАМ нельзя 100% задетектить

нравится мне очень это поле

Received: from unknown (HELO mss.avp.ru) (212.5.80.4)

by mx1.masterhost.ru with SMTP; 5 Oct 2006 00:34:47 -0000

оно говорит о том, что письмо было перенаправлено м соответсвенно инфа о исходных отправителях не сохранилась.. методика RBL отпадает

У меня такие письма прекрасно детектятся, с применением следующих технологий (признаков)

X-SpamTest-Info: {GS3: spam detected}

X-SpamTest-Info: {banned by a reliable RBL service}

X-SpamTest-Info: {banned by a standard RBL service}

X-SpamTest-Info: {relay has no DNS name}

Добавлено спустя 4 минуты 30 секунд:

1. Случайный тест

2. Картинка со специальными зашумлениями

3. случайные имена отправителей письма

если говорить о KAS, то это лучший метод борьбы с основной технологией spamtest.

особенно если элемент случайности будет в каждом письме одной сессии рассылки

[EugenSV1 0]

Пример из спам отстойника:

Received: from zehvi ([190.46.117.25]) by antispam.***.ru

Received: (qmail 5309 invoked from network); Sun, 1 Oct 2006 21:07:19 -0300

Received: from unknown (HELO 190.46.149.99) (190.46.149.99) by zehvi with SMTP; Sun, 1 Oct 2006 21:07:19 -0300

Message-ID: <452057E4.5030601@eastaviation.freeserve.co.uk>

Date: Sun, 1 Oct 2006 21:05:56 -0300

From: Meg Barry <eez@alisu.cl>

User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)

MIME-Version: 1.0

To: investd@***.ru

Subject: {spam:12.7} peroxide llama

X-Spam-Score: 12.70 (************) [Tag at ***] HTML_10_20,HTML_IMAGE_ONLY_28,HTML_MESSAGE,MIME_HTML_ONLY,RCVD_NUMERIC_HELO,SARE

_GIF_ATTACH,SARE_GIF_STOX,WORKSTATION_NAME,40(***),175(***)

Пользовательские правила

40(***) - отсутствие reverse DNS record

175(***) - HELO без точки

Но и без этих правил порог превышен

[Сергей Ильин 1538]

EugenSV1, а какой антиспам установлен, если не секрет?

[EugenSV1 0]

Сергей Ильин

http://www.roaringpenguin.com/anti_spam/per_user.php

[Z 0]

EugenSV1, а какой антиспам установлен, если не секрет?

Сергей, такой спам не ловит похоже только один антиспам, не будем его называть

[broker 30]

john

Kaspersky ЛОВИТ...

Вы преувеличиваете

[_Stout 131]

оно говорит о том, что письмо было перенаправлено м соответсвенно инфа о исходных отправителях не сохранилась.. методика RBL отпадает

Текущие публичные RBL далеко не самый надежныи и лучший способ детектирования. Фолсят довольно часто. IMHO это связано с критериями занесения IP в тот или иной RBL.

[broker 30]

Текущие публичные RBL далеко не самый надежныи и лучший способ детектирования. Фолсят довольно часто. IMHO это связано с критериями занесения IP в тот или иной RBL.

при использованию только RBL - да, используйте RBL как один из признаков.. Используйте RBL+, чтоб уменьшить кол-во ложных срабатываний

[Z 0]

john

Kaspersky ЛОВИТ...

Вы преувеличиваете

у Сергея не ловит, хэдеры в полученных им письмах я видел после Ашманова и аутглюка. почему - это уже не ко мне вопрос.

[alk 0]

Сергей, такой спам не ловит похоже только один антиспам, не будем его называть

Однако, замечание серьезное.

Насколько я знаю, сейчас этот спам в промышленных количествах (то есть, на всех установках, без fine-тюнинга, без внешних сервисов и т.п.) не ловит никто. Во всяком случае, это то, что я сейчас вижу на тестовом стенде, куда спам шлется в реальном времени.

К примеру, на конференции в Монреале зявлен доклад TrendMicro о новом графическом спаме, но не о методах его ловли.

И его действительно трудно отделить от нормальной почты, во всяком случае, an mass:

- его заголовки абсолютно точно повторяют заголовки одной из самых популярных версий MS Outlook Express.

- в нем есть вполне нормальный и адекватный текст, обычно скачанный с каких-либо интернет-сайтов.

- в него вставлен анимированный гиф, в котором один из кадров с рекламой длится несколько минут, а остальные пролетают очень быстро.

Собственно, мы, к сожалению, анимированные гифы профукали в своем продукте как класс, приходится это признать. То есть, такой спам мы ловим, только по другим признакам, а так остальные признаки можно подделать, то идет постоянное бодание: ловим, не ловим, ловим, ...

А так как проблема существует, то в ближайшее время выйдет Kaspersky Anti-Spam 3.0 Critical Fix, в который будет добавлена поддержка анимированных гифов и новое поколение технологии GSG, GSG-7 (до этого мы планировали выпустить ее только в январе-феврале, в MP1). Ну и еще будет добавлено кое-что, по-мелочи.

Received: from zehvi ([190.46.117.25]) by antispam.***.ru

Received: (qmail 5309 invoked from network); Sun, 1 Oct 2006 21:07:19 -0300

Received: from unknown (HELO 190.46.149.99) (190.46.149.99) by zehvi with SMTP; Sun, 1 Oct 2006 21:07:19 -0300

Message-ID: <452057E4.5030601@eastaviation.freeserve.co.uk>

Date: Sun, 1 Oct 2006 21:05:56 -0300

From: Meg Barry <eez@alisu.cl>

User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)

Это совсем не тот спам, о котором писал Сергей, это видно по его заголовкам. Оригинальный спам прикидывается аутлуком, а не громоптицей.

С представителями Roaring Penguin я общался на последнем CeBIT'е, у них внутри SpamAssassin со своиими правилами и прикрученным апдейтером, как я помню. Впрочем, это наиболее частое решение среди производителей appliance.

[Олег Рагозин 10]

Так как спам в примере английский, то с таким видом вполне неплохо борется Sophos PureMessage с технологией Genotype.

На семинаре в сентябре, который проводил Марк Харрис, директор Sophos Labs, он как раз о таком виде спама и о современных методах противостояния ему говорил.

Я даже попробую его в некотором роде процитировать. Метод борьбы по сути прост. Есть мировая сеть лабораторий, в которой живые люди классифицируют письма на спам - не спам. Спамовые технологии ушли так далеко, что детектить их автоматически становится весьма трудным делом, поэтому используются люди. Но люди естественно отследить весь трафик не могут. Тем более, что часто спамеры используют такой метод.

1. Готовится зашумленная картинка и рассылается 1-2 раза.

2. Эсперты детектируют ее и выпускают обновленные правила для антиспама.

3. Спамер чуть разворачивает картинку, 2-5 градусов, Checksum файла меняется, и обновленная антиспамовая сигнатура его пропускает при новой рассылке.

4. Тут вступает технология Genotype, которая была изобретена для того, чтобы детектировать новые разновидности вирусов, созданные при помощи модификации старых. Такая технология вдруг отлично подошла для детектирования спама. Так вот, при помощи уже устаревшей сигнатуры с применением алгоритма Genotype, новое письмо все равно классифицируется как спам.

Вот примерно так. Ногами не бить, я не техник, как понял, так и рассказываю.

[alk 0]

Тут вступает технология Genotype, которая была изобретена для того, чтобы детектировать новые разновидности вирусов, созданные при помощи модификации старых. Такая технология вдруг отлично подошла для детектирования спама. Так вот, при помощи уже устаревшей сигнатуры с применением алгоритма Genotype, новое письмо все равно классифицируется как спам.

Этот пункт очень похож на известный анекдот про "радиостанции на танках"... впрочем, я понимаю разработчиков. Я сейчас тоже не готов подробно рассказать о принципах нашей GSG-7 на открытом форуме, кроме общего направления движения: мы наконец-то смогли отыскать разумный баланс между функциональностью и производительностью в распознавании символов и слов в картинках.

[broker 30]

Я сейчас тоже не готов подробно рассказать о принципах нашей GSG-7 на открытом форуме

ну это вы зря, например всем со школьной скамьи известен принцип работы синхрофазотрона.. а никто, до сих пор, его на кухне не сделал

[Dorlas 0]

Как человек, который использует Антиспам Касперского с версии 1.5 (это было в далеком 2003м) подтверждаю - при настройках по умолчанию такие письма ловятся очень плохо.

В сентябре проходили 99% таких писем, в Октябре - уже меньше (около 50-ти).

Когда у меня такие письма пошли валом и посыпались гневные возгласы пользователей, я решил проблему координально:

/^content-(type|disposition):.*name[[:space:]]*=.*.(gif)/ REJECT Bad attachment file name extension: $2

Собственно и все.

[Сергей Ильин 1538]

Такие письма, только немного модифицированные, сыпятся и сейчас.

Ну сложно видимо бороться с анимированными GIF, тут большой простор для творчества.

[Dorlas 0]

Честно говоря на текущий момент пользоваться только одним продуктом (например Антиспамом Касперского) недостаточно. Безусловно, продукт хороший, но все же есть и недостатки.

В настоящий момент предпочитаю следующий вариант:

1) Антиспам Касперского 3.x + обновления раз в 20 минут

2) Система серых списков (Postgrey) - с ней кстати пришлось немного попотеть - забавно наблюдать по логам, как письмо от самого крупного клиента не может попать в наш ящик - честно скажу, начинаешь нервничать

Тестировал ее на стороне, немного на себе Понял простую вещь - штука прикольная, но для бизнеса крайне трудная (есть риск для здоровья админа) Решение пришло в 00:30 в кровати - блин, можно же ее использовать по расписанию!

Сказано - сделано - теперь эта система у меня включается ровно в 22:00 и выключается в 08:00 (время 22:00 выбрано из-за Москвы, т.к. есть сдвиг на два часа).

Результат себя оправдал - спамовый трафик сократился на 40% при том, что риск потерять нужное письмо минимален (если кто и пошлет письмо ночью(ну вот захотелось ему ), то к 8 утра оно дойдет

3) Несколько неслишком жестких настроек Postfix + 2 списка фильтрации в MySQL.

4) Несколько правил по header_checks (типа предыдущего).

В общем пока на этом остановился - письма проходят редко, ложные срабатывания исключены белыми списками в Антиспаме.

Вот такая петрушка, товарищи

[Сергей Ильин 1538]

Спамеры прогрессируют, вот новый "шедевр", который продавливает мой антиспам (см. атач).

Теперь стало еще забавнее. Анимированный GIF стал более зашумленный, в нем находится смысловая составляющая письма - предлагают поиграть на бирже, вложиться в акции какой-то фирмы, которые должны раскачать раза так в 2.5 по цене :-)

А дальше интереснее, для обмана антисмама добавлен произвольный текст, но оформлен он в виде сообщения от меня. Т.е. этот спам как бы ответ на мое сообщение :-)

Такого вот добра мне валится много :twisted:

Probable_Spam_Re_Rob_single.msg

Probable_Spam_Re_Rob_single.msg

[Ego1st 95]

Мне вот этот вид спама нравиться..))

что-то новинькое=))

http://virusinfo.info/showthread.php?t=6145

[Сергей Ильин 1538]

Мне вот этот вид спама нравиться..))

что-то новинькое=))

так это тоже самое, что я выложил, суть такая же (просто там задержка другая у первых кадров выставлена).

Я не думаю что челы реально хотели на подсознание воздействовать, просто прикалолись скорее всего, нужно же было что-то загнать в первые кадры анимированного GIF.

[Maxim 0]

Кстати уже ловит

http://forum.kaspersky.com/index.php?showt...st&p=219980

пример в аттаче.

gif_spam.txt

gif_spam.txt

[Сергей Ильин 1538]

Panda Software выпустила специальный пресс-релиз по поводу приведенного мной выше привера спама

**********************************

PandaLabs (www.viruslab.ru) сообщает о распространении большого количества спама в попытке повысить продажи акций определенной компании. Сообщение предрекает резкий рост курса акций West Excelsior Enterprise Inc. в грядущие пять дней. Его цель – заставить получателя купить акции этой компании.

Эта атака выполняется для того, чтобы повысить стоимость этих акций. PandaLabs сообщает о трех волнах атаки за последние пять дней. Эта стратегия разработана для сохранения курса акций после его повышения.

По данным нескольких финансовых источников, с момента появления первых сообщений в прошлую пятницу, курс акций компании вырос на 50 процентов от изначального показателя. Однако дальнейшие волны писем совпали с понижением цен на акции.

Используемые сообщения отличаются друг от друга. Среди этих различий - слова в тексте сообщения, фоновый цвет, тема сообщения и имя отправителя. Все эти различия были созданы для обхода правил антиспамового фильтра.

“Несмотря на то, что использование спама для повышения курса акций само по себе не является чем-то новым, в этом отдельном случае есть две интересные черты: Прежде всего, это организованная атака, состоящая из нескольких волн спама. Кроме того, каждое сообщение отличается от других, что довольно необычно", объясняет Луис Корронс, директор PandaLabs.

“Вероятно, создатель этих сообщений приобрел эти акции по малой стоимости и теперь намеревается быстро заработать, подняв их курс. В любом случае, самая большая опасность таких атак заключается в том, что они могут использоваться как для поднятия, так и для понижения курса акций. Это может стать опасным оружием, например против группы инвесторов или определенной компании.”

[Николай Головко 70]

Пора OCR в антиспам встраивать