Сергей Ильин

Спам, который не ловит никто!

В этой теме 26 сообщений

Не смотря на то, что я сейчас использую сразу несколько спам фильтров. Первый - на движке Касперского, второй - персональный антиспам на основе байеса.

Понятно, что алгоритмы работы их разные, но все равно один из видом спама через все это слегкость проходит, не смотря на массовость, я получаю штук по 20 таких писем в день (про его смысловую составляющую я молчу, я ее так и не понял :? ).

При этом люди не придумали что-то такое супер, они пользуются всем известными методами:

1. Случайный тест

2. Картинка со специальными зашумлениями

3. случайные имена отправителей письма

Я более чем уверен, что проблема не в антиспамах, которые я использую, подобный спам приходит и моим знакомым, а она глубже - такой спам вообще нельзя 100% детектить. Если это не так, постарайтесь меня переубедить :-)

И так, пример такого спама в студию.

Заголовок

Return-Path: <[email protected]>

Delivered-To: [email protected]

Received: (qmail 11356 invoked from network); 5 Oct 2006 00:34:47 -0000

Received: from unknown (HELO mss.avp.ru) (212.5.80.4)

by mx1.masterhost.ru with SMTP; 5 Oct 2006 00:34:47 -0000

Message-ID: <[email protected]>

From: "are" <[email protected]>

To: glavbu[email protected]

Subject: emailed to Alerts. Terms

Date: Thu, 5 Oct 2006 06:04:13 -05-30

MIME-Version: 1.0

Content-Type: multipart/related;

type="multipart/alternative";

boundary="----=_NextPart_000_000A_01C6E844.1527FC40"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2900.2869

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962

X-KHS-Domain-ID: 20051

X-KHS-Message-ID: 1814372

X-SpamTest-Group-ID: 00000000

X-SpamTest-Info: Profiles 324 [Oct 04 2006]

X-SpamTest-Method: none

X-SpamTest-Rate: 0

X-SpamTest-SPF: none

X-SpamTest-Status: Not detected

X-SpamTest-Status-Extended: not_detected

X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0242], KAS30/Release

spam_sample.gif

post-4-1160068190.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да про картингу давно уже где-то разговаривали, что анти-спамы их неловят!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ловится с полпинка и с хорошим score. только AS правильный иметь нужно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
такой спам вообще нельзя 100% детектить

если говорить ТАК категорично, то никакой СПАМ нельзя 100% задетектить :)

нравится мне очень это поле :)

Received: from unknown (HELO mss.avp.ru) (212.5.80.4)

by mx1.masterhost.ru with SMTP; 5 Oct 2006 00:34:47 -0000

оно говорит о том, что письмо было перенаправлено м соответсвенно инфа о исходных отправителях не сохранилась.. методика RBL отпадает

У меня такие письма прекрасно детектятся, с применением следующих технологий (признаков)

X-SpamTest-Info: {GS3: spam detected}

X-SpamTest-Info: {banned by a reliable RBL service}

X-SpamTest-Info: {banned by a standard RBL service}

X-SpamTest-Info: {relay has no DNS name}

Добавлено спустя 4 минуты 30 секунд:

1. Случайный тест

2. Картинка со специальными зашумлениями

3. случайные имена отправителей письма

если говорить о KAS, то это лучший метод борьбы с основной технологией spamtest.

особенно если элемент случайности будет в каждом письме одной сессии рассылки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пример из спам отстойника:

Received: from zehvi ([190.46.117.25]) by antispam.***.ru

Received: (qmail 5309 invoked from network); Sun, 1 Oct 2006 21:07:19 -0300

Received: from unknown (HELO 190.46.149.99) (190.46.149.99) by zehvi with SMTP; Sun, 1 Oct 2006 21:07:19 -0300

Message-ID: <[email protected]>

Date: Sun, 1 Oct 2006 21:05:56 -0300

From: Meg Barry <[email protected]>

User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)

MIME-Version: 1.0

To: [email protected]***.ru

Subject: {spam:12.7} peroxide llama

X-Spam-Score: 12.70 (************) [Tag at ***] HTML_10_20,HTML_IMAGE_ONLY_28,HTML_MESSAGE,MIME_HTML_ONLY,RCVD_NUMERIC_HELO,SARE

_GIF_ATTACH,SARE_GIF_STOX,WORKSTATION_NAME,40(***),175(***)

Пользовательские правила

40(***) - отсутствие reverse DNS record

175(***) - HELO без точки

Но и без этих правил порог превышен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

EugenSV1, а какой антиспам установлен, если не секрет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EugenSV1, а какой антиспам установлен, если не секрет?

Сергей, такой спам не ловит похоже только один антиспам, не будем его называть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
оно говорит о том, что письмо было перенаправлено м соответсвенно инфа о исходных отправителях не сохранилась.. методика RBL отпадает

Текущие публичные RBL далеко не самый надежныи и лучший способ детектирования. Фолсят довольно часто. IMHO это связано с критериями занесения IP в тот или иной RBL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Текущие публичные RBL далеко не самый надежныи и лучший способ детектирования. Фолсят довольно часто. IMHO это связано с критериями занесения IP в тот или иной RBL.

при использованию только RBL - да, используйте RBL как один из признаков.. Используйте RBL+, чтоб уменьшить кол-во ложных срабатываний

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
john

Kaspersky ЛОВИТ...

Вы преувеличиваете :)

у Сергея не ловит, хэдеры в полученных им письмах я видел после Ашманова и аутглюка. почему - это уже не ко мне вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей, такой спам не ловит похоже только один антиспам, не будем его называть

Однако, замечание серьезное.

Насколько я знаю, сейчас этот спам в промышленных количествах (то есть, на всех установках, без fine-тюнинга, без внешних сервисов и т.п.) не ловит никто. Во всяком случае, это то, что я сейчас вижу на тестовом стенде, куда спам шлется в реальном времени.

К примеру, на конференции в Монреале зявлен доклад TrendMicro о новом графическом спаме, но не о методах его ловли.

И его действительно трудно отделить от нормальной почты, во всяком случае, an mass:

- его заголовки абсолютно точно повторяют заголовки одной из самых популярных версий MS Outlook Express.

- в нем есть вполне нормальный и адекватный текст, обычно скачанный с каких-либо интернет-сайтов.

- в него вставлен анимированный гиф, в котором один из кадров с рекламой длится несколько минут, а остальные пролетают очень быстро.

Собственно, мы, к сожалению, анимированные гифы профукали в своем продукте как класс, приходится это признать. То есть, такой спам мы ловим, только по другим признакам, а так остальные признаки можно подделать, то идет постоянное бодание: ловим, не ловим, ловим, ...

А так как проблема существует, то в ближайшее время выйдет Kaspersky Anti-Spam 3.0 Critical Fix, в который будет добавлена поддержка анимированных гифов и новое поколение технологии GSG, GSG-7 (до этого мы планировали выпустить ее только в январе-феврале, в MP1). Ну и еще будет добавлено кое-что, по-мелочи.

Received: from zehvi ([190.46.117.25]) by antispam.***.ru

Received: (qmail 5309 invoked from network); Sun, 1 Oct 2006 21:07:19 -0300

Received: from unknown (HELO 190.46.149.99) (190.46.149.99) by zehvi with SMTP; Sun, 1 Oct 2006 21:07:19 -0300

Message-ID: <[email protected]>

Date: Sun, 1 Oct 2006 21:05:56 -0300

From: Meg Barry <[email protected]>

User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)

Это совсем не тот спам, о котором писал Сергей, это видно по его заголовкам. Оригинальный спам прикидывается аутлуком, а не громоптицей.

С представителями Roaring Penguin я общался на последнем CeBIT'е, у них внутри SpamAssassin со своиими правилами и прикрученным апдейтером, как я помню. Впрочем, это наиболее частое решение среди производителей appliance.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так как спам в примере английский, то с таким видом вполне неплохо борется Sophos PureMessage с технологией Genotype.

На семинаре в сентябре, который проводил Марк Харрис, директор Sophos Labs, он как раз о таком виде спама и о современных методах противостояния ему говорил.

Я даже попробую его в некотором роде процитировать. Метод борьбы по сути прост. Есть мировая сеть лабораторий, в которой живые люди классифицируют письма на спам - не спам. Спамовые технологии ушли так далеко, что детектить их автоматически становится весьма трудным делом, поэтому используются люди. Но люди естественно отследить весь трафик не могут. Тем более, что часто спамеры используют такой метод.

1. Готовится зашумленная картинка и рассылается 1-2 раза.

2. Эсперты детектируют ее и выпускают обновленные правила для антиспама.

3. Спамер чуть разворачивает картинку, 2-5 градусов, Checksum файла меняется, и обновленная антиспамовая сигнатура его пропускает при новой рассылке.

4. Тут вступает технология Genotype, которая была изобретена для того, чтобы детектировать новые разновидности вирусов, созданные при помощи модификации старых. Такая технология вдруг отлично подошла для детектирования спама. Так вот, при помощи уже устаревшей сигнатуры с применением алгоритма Genotype, новое письмо все равно классифицируется как спам.

Вот примерно так. Ногами не бить, я не техник, как понял, так и рассказываю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тут вступает технология Genotype, которая была изобретена для того, чтобы детектировать новые разновидности вирусов, созданные при помощи модификации старых. Такая технология вдруг отлично подошла для детектирования спама. Так вот, при помощи уже устаревшей сигнатуры с применением алгоритма Genotype, новое письмо все равно классифицируется как спам.

Этот пункт очень похож на известный анекдот про "радиостанции на танках"... впрочем, я понимаю разработчиков. Я сейчас тоже не готов подробно рассказать о принципах нашей GSG-7 на открытом форуме, кроме общего направления движения: мы наконец-то смогли отыскать разумный баланс между функциональностью и производительностью в распознавании символов и слов в картинках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я сейчас тоже не готов подробно рассказать о принципах нашей GSG-7 на открытом форуме

ну это вы зря, например всем со школьной скамьи известен принцип работы синхрофазотрона.. а никто, до сих пор, его на кухне не сделал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как человек, который использует Антиспам Касперского с версии 1.5 (это было в далеком 2003м) подтверждаю - при настройках по умолчанию такие письма ловятся очень плохо.

В сентябре проходили 99% таких писем, в Октябре - уже меньше (около 50-ти).

Когда у меня такие письма пошли валом и посыпались гневные возгласы пользователей, я решил проблему координально:

/^content-(type|disposition):.*name[[:space:]]*=.*.(gif)/ REJECT Bad attachment file name extension: $2

Собственно и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такие письма, только немного модифицированные, сыпятся и сейчас.

Ну сложно видимо бороться с анимированными GIF, тут большой простор для творчества.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Честно говоря на текущий момент пользоваться только одним продуктом (например Антиспамом Касперского) недостаточно. Безусловно, продукт хороший, но все же есть и недостатки.

В настоящий момент предпочитаю следующий вариант:

1) Антиспам Касперского 3.x + обновления раз в 20 минут

2) Система серых списков (Postgrey) - с ней кстати пришлось немного попотеть - забавно наблюдать по логам, как письмо от самого крупного клиента не может попать в наш ящик - честно скажу, начинаешь нервничать :);)

Тестировал ее на стороне, немного на себе :) Понял простую вещь - штука прикольная, но для бизнеса крайне трудная (есть риск для здоровья админа) :) Решение пришло в 00:30 в кровати - блин, можно же ее использовать по расписанию!

Сказано - сделано - теперь эта система у меня включается ровно в 22:00 и выключается в 08:00 (время 22:00 выбрано из-за Москвы, т.к. есть сдвиг на два часа).

Результат себя оправдал - спамовый трафик сократился на 40% при том, что риск потерять нужное письмо минимален (если кто и пошлет письмо ночью(ну вот захотелось ему :)), то к 8 утра оно дойдет ;)

3) Несколько неслишком жестких настроек Postfix + 2 списка фильтрации в MySQL.

4) Несколько правил по header_checks (типа предыдущего).

В общем пока на этом остановился - письма проходят редко, ложные срабатывания исключены белыми списками в Антиспаме.

Вот такая петрушка, товарищи ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спамеры прогрессируют, вот новый "шедевр", который продавливает мой антиспам (см. атач).

Теперь стало еще забавнее. Анимированный GIF стал более зашумленный, в нем находится смысловая составляющая письма - предлагают поиграть на бирже, вложиться в акции какой-то фирмы, которые должны раскачать раза так в 2.5 по цене :-)

А дальше интереснее, для обмана антисмама добавлен произвольный текст, но оформлен он в виде сообщения от меня. Т.е. этот спам как бы ответ на мое сообщение :-)

Такого вот добра мне валится много :twisted:

Probable_Spam_Re_Rob_single.msg

Probable_Spam_Re_Rob_single.msg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мне вот этот вид спама нравиться..))

что-то новинькое=))

так это тоже самое, что я выложил, суть такая же (просто там задержка другая у первых кадров выставлена).

Я не думаю что челы реально хотели на подсознание воздействовать, просто прикалолись скорее всего, нужно же было что-то загнать в первые кадры анимированного GIF.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Panda Software выпустила специальный пресс-релиз по поводу приведенного мной выше привера спама

**********************************

PandaLabs (www.viruslab.ru) сообщает о распространении большого количества спама в попытке повысить продажи акций определенной компании. Сообщение предрекает резкий рост курса акций West Excelsior Enterprise Inc. в грядущие пять дней. Его цель – заставить получателя купить акции этой компании.

Эта атака выполняется для того, чтобы повысить стоимость этих акций. PandaLabs сообщает о трех волнах атаки за последние пять дней. Эта стратегия разработана для сохранения курса акций после его повышения.

По данным нескольких финансовых источников, с момента появления первых сообщений в прошлую пятницу, курс акций компании вырос на 50 процентов от изначального показателя. Однако дальнейшие волны писем совпали с понижением цен на акции.

Используемые сообщения отличаются друг от друга. Среди этих различий - слова в тексте сообщения, фоновый цвет, тема сообщения и имя отправителя. Все эти различия были созданы для обхода правил антиспамового фильтра.

“Несмотря на то, что использование спама для повышения курса акций само по себе не является чем-то новым, в этом отдельном случае есть две интересные черты: Прежде всего, это организованная атака, состоящая из нескольких волн спама. Кроме того, каждое сообщение отличается от других, что довольно необычно", объясняет Луис Корронс, директор PandaLabs.

“Вероятно, создатель этих сообщений приобрел эти акции по малой стоимости и теперь намеревается быстро заработать, подняв их курс. В любом случае, самая большая опасность таких атак заключается в том, что они могут использоваться как для поднятия, так и для понижения курса акций. Это может стать опасным оружием, например против группы инвесторов или определенной компании.”

spam_WEXE.jpg

post-4-1163844586.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пора OCR в антиспам встраивать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Openair
    • Bitdefender
      Дорогие друзья! Мы хотим все больше и больше знать о своих пользователях. О том, что вам нравится в нашем антивирусе, а что нет. Эта тема создана специально для ваших отзывах о нашем продукте! Так что не стесняйтесь, мы ждем ваших комментариев)
    • NishonAli
      Добрый день! Не давно поступил в аспирантуру (форма соискатель).
      Встал вопрос о выборе темы по специальности методы и средства защиты информации, информационная безопасность. 
      Подобрал несколько тем прощу дать свои советы. 
      1. Проблема информационной безопасности в IoT устройствах.
      2. Методы и модели защиты информации в промышленных интернет вещей применением машинного обучения. 
    • djum
      Честно говоря такие объявления доверия не внушают, но вообще в инете и работу и подработку можно найти...    
      Я вон всякий хлам продаю по соцсетям... ВК, ОК, ...   Потом на фейсбук перебрался по совету ГикХакера...
      Сейчас собрался легализироваться... ИП открывать...   Вроде нормально все должно быть, тьфу тьфу...    
      А быстрых и легких денег не бывает...
    • djum
      Ну, вообще сейчас полно предложений по кредитам... Большие, маленькие, огромные, потребительские, ипотечный... Взять кредит не проблема, но тут нужно быть осторожным. Я допустим когда даже потребительский брал,  и то по инету прошерстил, инфу вон на kreditss.ru черпал... Так что тут выбор большой, но выбирать нужно аккуратно...