Перейти к содержанию
Сергей Ильин

Спам, который не ловит никто!

Recommended Posts

Сергей Ильин

Не смотря на то, что я сейчас использую сразу несколько спам фильтров. Первый - на движке Касперского, второй - персональный антиспам на основе байеса.

Понятно, что алгоритмы работы их разные, но все равно один из видом спама через все это слегкость проходит, не смотря на массовость, я получаю штук по 20 таких писем в день (про его смысловую составляющую я молчу, я ее так и не понял :? ).

При этом люди не придумали что-то такое супер, они пользуются всем известными методами:

1. Случайный тест

2. Картинка со специальными зашумлениями

3. случайные имена отправителей письма

Я более чем уверен, что проблема не в антиспамах, которые я использую, подобный спам приходит и моим знакомым, а она глубже - такой спам вообще нельзя 100% детектить. Если это не так, постарайтесь меня переубедить :-)

И так, пример такого спама в студию.

Заголовок

Return-Path: <muqxydzcutu@struttandparker.com>

Delivered-To: glavbuh@anti-malware.ru

Received: (qmail 11356 invoked from network); 5 Oct 2006 00:34:47 -0000

Received: from unknown (HELO mss.avp.ru) (212.5.80.4)

by mx1.masterhost.ru with SMTP; 5 Oct 2006 00:34:47 -0000

Message-ID: <000e01c6e815$fb6fc040$89225d3b@sanjud38c90a61>

From: "are" <muqxydzcutu@struttandparker.com>

To: glavbuh@anti-malware.ru

Subject: emailed to Alerts. Terms

Date: Thu, 5 Oct 2006 06:04:13 -05-30

MIME-Version: 1.0

Content-Type: multipart/related;

type="multipart/alternative";

boundary="----=_NextPart_000_000A_01C6E844.1527FC40"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2900.2869

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962

X-KHS-Domain-ID: 20051

X-KHS-Message-ID: 1814372

X-SpamTest-Group-ID: 00000000

X-SpamTest-Info: Profiles 324 [Oct 04 2006]

X-SpamTest-Method: none

X-SpamTest-Rate: 0

X-SpamTest-SPF: none

X-SpamTest-Status: Not detected

X-SpamTest-Status-Extended: not_detected

X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0242], KAS30/Release

spam_sample.gif

post-4-1160068190.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

да про картингу давно уже где-то разговаривали, что анти-спамы их неловят!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z

ловится с полпинка и с хорошим score. только AS правильный иметь нужно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
такой спам вообще нельзя 100% детектить

если говорить ТАК категорично, то никакой СПАМ нельзя 100% задетектить :)

нравится мне очень это поле :)

Received: from unknown (HELO mss.avp.ru) (212.5.80.4)

by mx1.masterhost.ru with SMTP; 5 Oct 2006 00:34:47 -0000

оно говорит о том, что письмо было перенаправлено м соответсвенно инфа о исходных отправителях не сохранилась.. методика RBL отпадает

У меня такие письма прекрасно детектятся, с применением следующих технологий (признаков)

X-SpamTest-Info: {GS3: spam detected}

X-SpamTest-Info: {banned by a reliable RBL service}

X-SpamTest-Info: {banned by a standard RBL service}

X-SpamTest-Info: {relay has no DNS name}

Добавлено спустя 4 минуты 30 секунд:

1. Случайный тест

2. Картинка со специальными зашумлениями

3. случайные имена отправителей письма

если говорить о KAS, то это лучший метод борьбы с основной технологией spamtest.

особенно если элемент случайности будет в каждом письме одной сессии рассылки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EugenSV1

Пример из спам отстойника:

Received: from zehvi ([190.46.117.25]) by antispam.***.ru

Received: (qmail 5309 invoked from network); Sun, 1 Oct 2006 21:07:19 -0300

Received: from unknown (HELO 190.46.149.99) (190.46.149.99) by zehvi with SMTP; Sun, 1 Oct 2006 21:07:19 -0300

Message-ID: <452057E4.5030601@eastaviation.freeserve.co.uk>

Date: Sun, 1 Oct 2006 21:05:56 -0300

From: Meg Barry <eez@alisu.cl>

User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)

MIME-Version: 1.0

To: investd@***.ru

Subject: {spam:12.7} peroxide llama

X-Spam-Score: 12.70 (************) [Tag at ***] HTML_10_20,HTML_IMAGE_ONLY_28,HTML_MESSAGE,MIME_HTML_ONLY,RCVD_NUMERIC_HELO,SARE

_GIF_ATTACH,SARE_GIF_STOX,WORKSTATION_NAME,40(***),175(***)

Пользовательские правила

40(***) - отсутствие reverse DNS record

175(***) - HELO без точки

Но и без этих правил порог превышен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

EugenSV1, а какой антиспам установлен, если не секрет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z
EugenSV1, а какой антиспам установлен, если не секрет?

Сергей, такой спам не ловит похоже только один антиспам, не будем его называть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

john

Kaspersky ЛОВИТ...

Вы преувеличиваете :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
оно говорит о том, что письмо было перенаправлено м соответсвенно инфа о исходных отправителях не сохранилась.. методика RBL отпадает

Текущие публичные RBL далеко не самый надежныи и лучший способ детектирования. Фолсят довольно часто. IMHO это связано с критериями занесения IP в тот или иной RBL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Текущие публичные RBL далеко не самый надежныи и лучший способ детектирования. Фолсят довольно часто. IMHO это связано с критериями занесения IP в тот или иной RBL.

при использованию только RBL - да, используйте RBL как один из признаков.. Используйте RBL+, чтоб уменьшить кол-во ложных срабатываний

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z
john

Kaspersky ЛОВИТ...

Вы преувеличиваете :)

у Сергея не ловит, хэдеры в полученных им письмах я видел после Ашманова и аутглюка. почему - это уже не ко мне вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alk
Сергей, такой спам не ловит похоже только один антиспам, не будем его называть

Однако, замечание серьезное.

Насколько я знаю, сейчас этот спам в промышленных количествах (то есть, на всех установках, без fine-тюнинга, без внешних сервисов и т.п.) не ловит никто. Во всяком случае, это то, что я сейчас вижу на тестовом стенде, куда спам шлется в реальном времени.

К примеру, на конференции в Монреале зявлен доклад TrendMicro о новом графическом спаме, но не о методах его ловли.

И его действительно трудно отделить от нормальной почты, во всяком случае, an mass:

- его заголовки абсолютно точно повторяют заголовки одной из самых популярных версий MS Outlook Express.

- в нем есть вполне нормальный и адекватный текст, обычно скачанный с каких-либо интернет-сайтов.

- в него вставлен анимированный гиф, в котором один из кадров с рекламой длится несколько минут, а остальные пролетают очень быстро.

Собственно, мы, к сожалению, анимированные гифы профукали в своем продукте как класс, приходится это признать. То есть, такой спам мы ловим, только по другим признакам, а так остальные признаки можно подделать, то идет постоянное бодание: ловим, не ловим, ловим, ...

А так как проблема существует, то в ближайшее время выйдет Kaspersky Anti-Spam 3.0 Critical Fix, в который будет добавлена поддержка анимированных гифов и новое поколение технологии GSG, GSG-7 (до этого мы планировали выпустить ее только в январе-феврале, в MP1). Ну и еще будет добавлено кое-что, по-мелочи.

Received: from zehvi ([190.46.117.25]) by antispam.***.ru

Received: (qmail 5309 invoked from network); Sun, 1 Oct 2006 21:07:19 -0300

Received: from unknown (HELO 190.46.149.99) (190.46.149.99) by zehvi with SMTP; Sun, 1 Oct 2006 21:07:19 -0300

Message-ID: <452057E4.5030601@eastaviation.freeserve.co.uk>

Date: Sun, 1 Oct 2006 21:05:56 -0300

From: Meg Barry <eez@alisu.cl>

User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)

Это совсем не тот спам, о котором писал Сергей, это видно по его заголовкам. Оригинальный спам прикидывается аутлуком, а не громоптицей.

С представителями Roaring Penguin я общался на последнем CeBIT'е, у них внутри SpamAssassin со своиими правилами и прикрученным апдейтером, как я помню. Впрочем, это наиболее частое решение среди производителей appliance.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Так как спам в примере английский, то с таким видом вполне неплохо борется Sophos PureMessage с технологией Genotype.

На семинаре в сентябре, который проводил Марк Харрис, директор Sophos Labs, он как раз о таком виде спама и о современных методах противостояния ему говорил.

Я даже попробую его в некотором роде процитировать. Метод борьбы по сути прост. Есть мировая сеть лабораторий, в которой живые люди классифицируют письма на спам - не спам. Спамовые технологии ушли так далеко, что детектить их автоматически становится весьма трудным делом, поэтому используются люди. Но люди естественно отследить весь трафик не могут. Тем более, что часто спамеры используют такой метод.

1. Готовится зашумленная картинка и рассылается 1-2 раза.

2. Эсперты детектируют ее и выпускают обновленные правила для антиспама.

3. Спамер чуть разворачивает картинку, 2-5 градусов, Checksum файла меняется, и обновленная антиспамовая сигнатура его пропускает при новой рассылке.

4. Тут вступает технология Genotype, которая была изобретена для того, чтобы детектировать новые разновидности вирусов, созданные при помощи модификации старых. Такая технология вдруг отлично подошла для детектирования спама. Так вот, при помощи уже устаревшей сигнатуры с применением алгоритма Genotype, новое письмо все равно классифицируется как спам.

Вот примерно так. Ногами не бить, я не техник, как понял, так и рассказываю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alk
Тут вступает технология Genotype, которая была изобретена для того, чтобы детектировать новые разновидности вирусов, созданные при помощи модификации старых. Такая технология вдруг отлично подошла для детектирования спама. Так вот, при помощи уже устаревшей сигнатуры с применением алгоритма Genotype, новое письмо все равно классифицируется как спам.

Этот пункт очень похож на известный анекдот про "радиостанции на танках"... впрочем, я понимаю разработчиков. Я сейчас тоже не готов подробно рассказать о принципах нашей GSG-7 на открытом форуме, кроме общего направления движения: мы наконец-то смогли отыскать разумный баланс между функциональностью и производительностью в распознавании символов и слов в картинках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Я сейчас тоже не готов подробно рассказать о принципах нашей GSG-7 на открытом форуме

ну это вы зря, например всем со школьной скамьи известен принцип работы синхрофазотрона.. а никто, до сих пор, его на кухне не сделал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dorlas

Как человек, который использует Антиспам Касперского с версии 1.5 (это было в далеком 2003м) подтверждаю - при настройках по умолчанию такие письма ловятся очень плохо.

В сентябре проходили 99% таких писем, в Октябре - уже меньше (около 50-ти).

Когда у меня такие письма пошли валом и посыпались гневные возгласы пользователей, я решил проблему координально:

/^content-(type|disposition):.*name[[:space:]]*=.*.(gif)/ REJECT Bad attachment file name extension: $2

Собственно и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Такие письма, только немного модифицированные, сыпятся и сейчас.

Ну сложно видимо бороться с анимированными GIF, тут большой простор для творчества.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dorlas

Честно говоря на текущий момент пользоваться только одним продуктом (например Антиспамом Касперского) недостаточно. Безусловно, продукт хороший, но все же есть и недостатки.

В настоящий момент предпочитаю следующий вариант:

1) Антиспам Касперского 3.x + обновления раз в 20 минут

2) Система серых списков (Postgrey) - с ней кстати пришлось немного попотеть - забавно наблюдать по логам, как письмо от самого крупного клиента не может попать в наш ящик - честно скажу, начинаешь нервничать :);)

Тестировал ее на стороне, немного на себе :) Понял простую вещь - штука прикольная, но для бизнеса крайне трудная (есть риск для здоровья админа) :) Решение пришло в 00:30 в кровати - блин, можно же ее использовать по расписанию!

Сказано - сделано - теперь эта система у меня включается ровно в 22:00 и выключается в 08:00 (время 22:00 выбрано из-за Москвы, т.к. есть сдвиг на два часа).

Результат себя оправдал - спамовый трафик сократился на 40% при том, что риск потерять нужное письмо минимален (если кто и пошлет письмо ночью(ну вот захотелось ему :)), то к 8 утра оно дойдет ;)

3) Несколько неслишком жестких настроек Postfix + 2 списка фильтрации в MySQL.

4) Несколько правил по header_checks (типа предыдущего).

В общем пока на этом остановился - письма проходят редко, ложные срабатывания исключены белыми списками в Антиспаме.

Вот такая петрушка, товарищи ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Спамеры прогрессируют, вот новый "шедевр", который продавливает мой антиспам (см. атач).

Теперь стало еще забавнее. Анимированный GIF стал более зашумленный, в нем находится смысловая составляющая письма - предлагают поиграть на бирже, вложиться в акции какой-то фирмы, которые должны раскачать раза так в 2.5 по цене :-)

А дальше интереснее, для обмана антисмама добавлен произвольный текст, но оформлен он в виде сообщения от меня. Т.е. этот спам как бы ответ на мое сообщение :-)

Такого вот добра мне валится много :twisted:

Probable_Spam_Re_Rob_single.msg

Probable_Spam_Re_Rob_single.msg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Мне вот этот вид спама нравиться..))

что-то новинькое=))

так это тоже самое, что я выложил, суть такая же (просто там задержка другая у первых кадров выставлена).

Я не думаю что челы реально хотели на подсознание воздействовать, просто прикалолись скорее всего, нужно же было что-то загнать в первые кадры анимированного GIF.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Panda Software выпустила специальный пресс-релиз по поводу приведенного мной выше привера спама

**********************************

PandaLabs (www.viruslab.ru) сообщает о распространении большого количества спама в попытке повысить продажи акций определенной компании. Сообщение предрекает резкий рост курса акций West Excelsior Enterprise Inc. в грядущие пять дней. Его цель – заставить получателя купить акции этой компании.

Эта атака выполняется для того, чтобы повысить стоимость этих акций. PandaLabs сообщает о трех волнах атаки за последние пять дней. Эта стратегия разработана для сохранения курса акций после его повышения.

По данным нескольких финансовых источников, с момента появления первых сообщений в прошлую пятницу, курс акций компании вырос на 50 процентов от изначального показателя. Однако дальнейшие волны писем совпали с понижением цен на акции.

Используемые сообщения отличаются друг от друга. Среди этих различий - слова в тексте сообщения, фоновый цвет, тема сообщения и имя отправителя. Все эти различия были созданы для обхода правил антиспамового фильтра.

“Несмотря на то, что использование спама для повышения курса акций само по себе не является чем-то новым, в этом отдельном случае есть две интересные черты: Прежде всего, это организованная атака, состоящая из нескольких волн спама. Кроме того, каждое сообщение отличается от других, что довольно необычно", объясняет Луис Корронс, директор PandaLabs.

“Вероятно, создатель этих сообщений приобрел эти акции по малой стоимости и теперь намеревается быстро заработать, подняв их курс. В любом случае, самая большая опасность таких атак заключается в том, что они могут использоваться как для поднятия, так и для понижения курса акций. Это может стать опасным оружием, например против группы инвесторов или определенной компании.”

spam_WEXE.jpg

post-4-1163844586.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Пора OCR в антиспам встраивать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×