Перейти к содержанию
Сергей Ильин

Спам, который не ловит никто!

Recommended Posts

Сергей Ильин

Не смотря на то, что я сейчас использую сразу несколько спам фильтров. Первый - на движке Касперского, второй - персональный антиспам на основе байеса.

Понятно, что алгоритмы работы их разные, но все равно один из видом спама через все это слегкость проходит, не смотря на массовость, я получаю штук по 20 таких писем в день (про его смысловую составляющую я молчу, я ее так и не понял :? ).

При этом люди не придумали что-то такое супер, они пользуются всем известными методами:

1. Случайный тест

2. Картинка со специальными зашумлениями

3. случайные имена отправителей письма

Я более чем уверен, что проблема не в антиспамах, которые я использую, подобный спам приходит и моим знакомым, а она глубже - такой спам вообще нельзя 100% детектить. Если это не так, постарайтесь меня переубедить :-)

И так, пример такого спама в студию.

Заголовок

Return-Path: <[email protected]>

Delivered-To: [email protected]

Received: (qmail 11356 invoked from network); 5 Oct 2006 00:34:47 -0000

Received: from unknown (HELO mss.avp.ru) (212.5.80.4)

by mx1.masterhost.ru with SMTP; 5 Oct 2006 00:34:47 -0000

Message-ID: <[email protected]>

From: "are" <[email protected]>

To: [email protected]

Subject: emailed to Alerts. Terms

Date: Thu, 5 Oct 2006 06:04:13 -05-30

MIME-Version: 1.0

Content-Type: multipart/related;

type="multipart/alternative";

boundary="----=_NextPart_000_000A_01C6E844.1527FC40"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2900.2869

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962

X-KHS-Domain-ID: 20051

X-KHS-Message-ID: 1814372

X-SpamTest-Group-ID: 00000000

X-SpamTest-Info: Profiles 324 [Oct 04 2006]

X-SpamTest-Method: none

X-SpamTest-Rate: 0

X-SpamTest-SPF: none

X-SpamTest-Status: Not detected

X-SpamTest-Status-Extended: not_detected

X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0242], KAS30/Release

spam_sample.gif

post-4-1160068190.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

да про картингу давно уже где-то разговаривали, что анти-спамы их неловят!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z

ловится с полпинка и с хорошим score. только AS правильный иметь нужно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
такой спам вообще нельзя 100% детектить

если говорить ТАК категорично, то никакой СПАМ нельзя 100% задетектить :)

нравится мне очень это поле :)

Received: from unknown (HELO mss.avp.ru) (212.5.80.4)

by mx1.masterhost.ru with SMTP; 5 Oct 2006 00:34:47 -0000

оно говорит о том, что письмо было перенаправлено м соответсвенно инфа о исходных отправителях не сохранилась.. методика RBL отпадает

У меня такие письма прекрасно детектятся, с применением следующих технологий (признаков)

X-SpamTest-Info: {GS3: spam detected}

X-SpamTest-Info: {banned by a reliable RBL service}

X-SpamTest-Info: {banned by a standard RBL service}

X-SpamTest-Info: {relay has no DNS name}

Добавлено спустя 4 минуты 30 секунд:

1. Случайный тест

2. Картинка со специальными зашумлениями

3. случайные имена отправителей письма

если говорить о KAS, то это лучший метод борьбы с основной технологией spamtest.

особенно если элемент случайности будет в каждом письме одной сессии рассылки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EugenSV1

Пример из спам отстойника:

Received: from zehvi ([190.46.117.25]) by antispam.***.ru

Received: (qmail 5309 invoked from network); Sun, 1 Oct 2006 21:07:19 -0300

Received: from unknown (HELO 190.46.149.99) (190.46.149.99) by zehvi with SMTP; Sun, 1 Oct 2006 21:07:19 -0300

Message-ID: <[email protected]>

Date: Sun, 1 Oct 2006 21:05:56 -0300

From: Meg Barry <[email protected]>

User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)

MIME-Version: 1.0

To: [email protected]***.ru

Subject: {spam:12.7} peroxide llama

X-Spam-Score: 12.70 (************) [Tag at ***] HTML_10_20,HTML_IMAGE_ONLY_28,HTML_MESSAGE,MIME_HTML_ONLY,RCVD_NUMERIC_HELO,SARE

_GIF_ATTACH,SARE_GIF_STOX,WORKSTATION_NAME,40(***),175(***)

Пользовательские правила

40(***) - отсутствие reverse DNS record

175(***) - HELO без точки

Но и без этих правил порог превышен

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

EugenSV1, а какой антиспам установлен, если не секрет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z
EugenSV1, а какой антиспам установлен, если не секрет?

Сергей, такой спам не ловит похоже только один антиспам, не будем его называть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

john

Kaspersky ЛОВИТ...

Вы преувеличиваете :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
оно говорит о том, что письмо было перенаправлено м соответсвенно инфа о исходных отправителях не сохранилась.. методика RBL отпадает

Текущие публичные RBL далеко не самый надежныи и лучший способ детектирования. Фолсят довольно часто. IMHO это связано с критериями занесения IP в тот или иной RBL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Текущие публичные RBL далеко не самый надежныи и лучший способ детектирования. Фолсят довольно часто. IMHO это связано с критериями занесения IP в тот или иной RBL.

при использованию только RBL - да, используйте RBL как один из признаков.. Используйте RBL+, чтоб уменьшить кол-во ложных срабатываний

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z
john

Kaspersky ЛОВИТ...

Вы преувеличиваете :)

у Сергея не ловит, хэдеры в полученных им письмах я видел после Ашманова и аутглюка. почему - это уже не ко мне вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alk
Сергей, такой спам не ловит похоже только один антиспам, не будем его называть

Однако, замечание серьезное.

Насколько я знаю, сейчас этот спам в промышленных количествах (то есть, на всех установках, без fine-тюнинга, без внешних сервисов и т.п.) не ловит никто. Во всяком случае, это то, что я сейчас вижу на тестовом стенде, куда спам шлется в реальном времени.

К примеру, на конференции в Монреале зявлен доклад TrendMicro о новом графическом спаме, но не о методах его ловли.

И его действительно трудно отделить от нормальной почты, во всяком случае, an mass:

- его заголовки абсолютно точно повторяют заголовки одной из самых популярных версий MS Outlook Express.

- в нем есть вполне нормальный и адекватный текст, обычно скачанный с каких-либо интернет-сайтов.

- в него вставлен анимированный гиф, в котором один из кадров с рекламой длится несколько минут, а остальные пролетают очень быстро.

Собственно, мы, к сожалению, анимированные гифы профукали в своем продукте как класс, приходится это признать. То есть, такой спам мы ловим, только по другим признакам, а так остальные признаки можно подделать, то идет постоянное бодание: ловим, не ловим, ловим, ...

А так как проблема существует, то в ближайшее время выйдет Kaspersky Anti-Spam 3.0 Critical Fix, в который будет добавлена поддержка анимированных гифов и новое поколение технологии GSG, GSG-7 (до этого мы планировали выпустить ее только в январе-феврале, в MP1). Ну и еще будет добавлено кое-что, по-мелочи.

Received: from zehvi ([190.46.117.25]) by antispam.***.ru

Received: (qmail 5309 invoked from network); Sun, 1 Oct 2006 21:07:19 -0300

Received: from unknown (HELO 190.46.149.99) (190.46.149.99) by zehvi with SMTP; Sun, 1 Oct 2006 21:07:19 -0300

Message-ID: <[email protected]>

Date: Sun, 1 Oct 2006 21:05:56 -0300

From: Meg Barry <[email protected]>

User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)

Это совсем не тот спам, о котором писал Сергей, это видно по его заголовкам. Оригинальный спам прикидывается аутлуком, а не громоптицей.

С представителями Roaring Penguin я общался на последнем CeBIT'е, у них внутри SpamAssassin со своиими правилами и прикрученным апдейтером, как я помню. Впрочем, это наиболее частое решение среди производителей appliance.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Так как спам в примере английский, то с таким видом вполне неплохо борется Sophos PureMessage с технологией Genotype.

На семинаре в сентябре, который проводил Марк Харрис, директор Sophos Labs, он как раз о таком виде спама и о современных методах противостояния ему говорил.

Я даже попробую его в некотором роде процитировать. Метод борьбы по сути прост. Есть мировая сеть лабораторий, в которой живые люди классифицируют письма на спам - не спам. Спамовые технологии ушли так далеко, что детектить их автоматически становится весьма трудным делом, поэтому используются люди. Но люди естественно отследить весь трафик не могут. Тем более, что часто спамеры используют такой метод.

1. Готовится зашумленная картинка и рассылается 1-2 раза.

2. Эсперты детектируют ее и выпускают обновленные правила для антиспама.

3. Спамер чуть разворачивает картинку, 2-5 градусов, Checksum файла меняется, и обновленная антиспамовая сигнатура его пропускает при новой рассылке.

4. Тут вступает технология Genotype, которая была изобретена для того, чтобы детектировать новые разновидности вирусов, созданные при помощи модификации старых. Такая технология вдруг отлично подошла для детектирования спама. Так вот, при помощи уже устаревшей сигнатуры с применением алгоритма Genotype, новое письмо все равно классифицируется как спам.

Вот примерно так. Ногами не бить, я не техник, как понял, так и рассказываю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alk
Тут вступает технология Genotype, которая была изобретена для того, чтобы детектировать новые разновидности вирусов, созданные при помощи модификации старых. Такая технология вдруг отлично подошла для детектирования спама. Так вот, при помощи уже устаревшей сигнатуры с применением алгоритма Genotype, новое письмо все равно классифицируется как спам.

Этот пункт очень похож на известный анекдот про "радиостанции на танках"... впрочем, я понимаю разработчиков. Я сейчас тоже не готов подробно рассказать о принципах нашей GSG-7 на открытом форуме, кроме общего направления движения: мы наконец-то смогли отыскать разумный баланс между функциональностью и производительностью в распознавании символов и слов в картинках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Я сейчас тоже не готов подробно рассказать о принципах нашей GSG-7 на открытом форуме

ну это вы зря, например всем со школьной скамьи известен принцип работы синхрофазотрона.. а никто, до сих пор, его на кухне не сделал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dorlas

Как человек, который использует Антиспам Касперского с версии 1.5 (это было в далеком 2003м) подтверждаю - при настройках по умолчанию такие письма ловятся очень плохо.

В сентябре проходили 99% таких писем, в Октябре - уже меньше (около 50-ти).

Когда у меня такие письма пошли валом и посыпались гневные возгласы пользователей, я решил проблему координально:

/^content-(type|disposition):.*name[[:space:]]*=.*.(gif)/ REJECT Bad attachment file name extension: $2

Собственно и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Такие письма, только немного модифицированные, сыпятся и сейчас.

Ну сложно видимо бороться с анимированными GIF, тут большой простор для творчества.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dorlas

Честно говоря на текущий момент пользоваться только одним продуктом (например Антиспамом Касперского) недостаточно. Безусловно, продукт хороший, но все же есть и недостатки.

В настоящий момент предпочитаю следующий вариант:

1) Антиспам Касперского 3.x + обновления раз в 20 минут

2) Система серых списков (Postgrey) - с ней кстати пришлось немного попотеть - забавно наблюдать по логам, как письмо от самого крупного клиента не может попать в наш ящик - честно скажу, начинаешь нервничать :);)

Тестировал ее на стороне, немного на себе :) Понял простую вещь - штука прикольная, но для бизнеса крайне трудная (есть риск для здоровья админа) :) Решение пришло в 00:30 в кровати - блин, можно же ее использовать по расписанию!

Сказано - сделано - теперь эта система у меня включается ровно в 22:00 и выключается в 08:00 (время 22:00 выбрано из-за Москвы, т.к. есть сдвиг на два часа).

Результат себя оправдал - спамовый трафик сократился на 40% при том, что риск потерять нужное письмо минимален (если кто и пошлет письмо ночью(ну вот захотелось ему :)), то к 8 утра оно дойдет ;)

3) Несколько неслишком жестких настроек Postfix + 2 списка фильтрации в MySQL.

4) Несколько правил по header_checks (типа предыдущего).

В общем пока на этом остановился - письма проходят редко, ложные срабатывания исключены белыми списками в Антиспаме.

Вот такая петрушка, товарищи ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Спамеры прогрессируют, вот новый "шедевр", который продавливает мой антиспам (см. атач).

Теперь стало еще забавнее. Анимированный GIF стал более зашумленный, в нем находится смысловая составляющая письма - предлагают поиграть на бирже, вложиться в акции какой-то фирмы, которые должны раскачать раза так в 2.5 по цене :-)

А дальше интереснее, для обмана антисмама добавлен произвольный текст, но оформлен он в виде сообщения от меня. Т.е. этот спам как бы ответ на мое сообщение :-)

Такого вот добра мне валится много :twisted:

Probable_Spam_Re_Rob_single.msg

Probable_Spam_Re_Rob_single.msg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Мне вот этот вид спама нравиться..))

что-то новинькое=))

так это тоже самое, что я выложил, суть такая же (просто там задержка другая у первых кадров выставлена).

Я не думаю что челы реально хотели на подсознание воздействовать, просто прикалолись скорее всего, нужно же было что-то загнать в первые кадры анимированного GIF.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Panda Software выпустила специальный пресс-релиз по поводу приведенного мной выше привера спама

**********************************

PandaLabs (www.viruslab.ru) сообщает о распространении большого количества спама в попытке повысить продажи акций определенной компании. Сообщение предрекает резкий рост курса акций West Excelsior Enterprise Inc. в грядущие пять дней. Его цель – заставить получателя купить акции этой компании.

Эта атака выполняется для того, чтобы повысить стоимость этих акций. PandaLabs сообщает о трех волнах атаки за последние пять дней. Эта стратегия разработана для сохранения курса акций после его повышения.

По данным нескольких финансовых источников, с момента появления первых сообщений в прошлую пятницу, курс акций компании вырос на 50 процентов от изначального показателя. Однако дальнейшие волны писем совпали с понижением цен на акции.

Используемые сообщения отличаются друг от друга. Среди этих различий - слова в тексте сообщения, фоновый цвет, тема сообщения и имя отправителя. Все эти различия были созданы для обхода правил антиспамового фильтра.

“Несмотря на то, что использование спама для повышения курса акций само по себе не является чем-то новым, в этом отдельном случае есть две интересные черты: Прежде всего, это организованная атака, состоящая из нескольких волн спама. Кроме того, каждое сообщение отличается от других, что довольно необычно", объясняет Луис Корронс, директор PandaLabs.

“Вероятно, создатель этих сообщений приобрел эти акции по малой стоимости и теперь намеревается быстро заработать, подняв их курс. В любом случае, самая большая опасность таких атак заключается в том, что они могут использоваться как для поднятия, так и для понижения курса акций. Это может стать опасным оружием, например против группы инвесторов или определенной компании.”

spam_WEXE.jpg

post-4-1163844586.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Пора OCR в антиспам встраивать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
×