Архив новостей

Современные технологии спамеров

Введение

На сегодняшний день рассылка спама приобрела исключительные масштабы — ежесуточно в мире рассылаются десятки миллиардов спам-сообщений (от 40 до 70 процентов всей электронной почты). Такие масштабы требуют существенных вложений в технологию рассылок.

Технологическая цепочка спамеров выглядит таким образом:

  1. Cбор и верификация E-mail-адресов получателей. Классификация адресов по типам.
  2. Подготовка «точек рассылки» — компьютеров, через которые будет рассылаться спам.
  3. Создание программного обеспечения для рассылки.
  4. Поиск клиентов.
  5. Создание рекламных объявлений для конкретной рассылки.
  6. Произведение рассылки.

Каждый отдельный шаг в технологической цепочке может выполняться независимо.

Сбор и верификация списков адресов

Для рассылки спама необходимо иметь список E-mail-адресов потенциальных получателей («спам-базу», e-mail database). Адреса в таких списках могут иметь дополнительную информацию:

  • Регион
  • Вид деятельности компании (или интересы пользователей)
  • Список адресов пользователей конкретной почтовой службы (Yandex, AOL, Hotmail и т.п.) или конкретного сервиса (eBay, Paypal…)

Сбор адресов осуществляется следующими методами:

  1. Подбор по словарям имен собственных, «красивых слов», частых сочетаний слово-цифра (jonh@, destroyer@, alex-2@).
  2. Метод аналогий — если существует Joe.User@hotmail.com, то вполне резонно поискать Joe.User@yahoo.com, @aol.com, @Paypal.
  3. Сканирование всех доступных источников информации — Web-сайтов, форумов, чатов, досок объявлений, Usenet News, баз данных Whois на сочетание слово1@слово2.слово3… (при этом, на конце такого сочетания должен быть домен верхнего уровня — .com, .ru, .info и так далее).
  4. Воровство баз данных сервисов, провайдеров и т.п.
  5. Воровство персональных данных пользователей посредством компьютерных вирусов и прочих вредоносных программ.

При сканировании доступных источников информации (способ 3) можно пытаться определить «круг интересов» данного источника, что дает возможность получить тематические базы данных. В случае воровства данных провайдеров, достаточно часто имеется дополнительная информация о пользователе, что тоже позволяет провести персонализацию.

Воровство персональных данных пользователей — как адресные книги почтовых клиентов (большинство адресов в которых — действующие), так и другие персональные данные, — получило распространение сравнительно недавно. К сожалению, массовые вирусные эпидемии последних лет показывают, что распространенность антивирусных средств недостаточна, следовательно, распространенность данного способа сбора персональных данных будет расти.

Полученные адреса нужно верифицировать, что может происходить такими способами:

  1. Пробная посылка сообщения. Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка.
  2. Помещение в текст спам-сообщения уникальной ссылки на картинку, расположенную на WWW-сервере. При прочтении письма картинка будет загружена (во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Метод верифицирует не валидность адреса, а факт прочтения письма.
  3. Ссылка «отписаться» в спам-сообщении. Если получатель нажимает на эту гиперссылку, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя.

Все три способа верификации не слишком хороши, соответственно, в базах данных E-mail будет достаточно много «мертвых» адресов.

Подготовка «точек рассылки»

На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами:

  1. Прямая рассылка с арендованных серверов.
  2. Использование «открытых релеев» и «открытых proxy» — сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам.
  3. Скрытая установка на пользовательских компьютерах программного обеспечения, позволяющего несанкционированный доступ к ресурсам данного компьютера.

Соответственно, для рассылки с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов. Они достаточно быстро попадают в списки запрещенных IP-адресов, соответственно, рассылать спам таким образом можно только на тех получателей, почтовые сервисы которых не используют списки запрещенных.

Для использования открытых сервисов необходимо постоянно вести поиск таких сервисов — для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства Интернета.

Наибольшую популярность на сегодняшний день имеет установка троянских компонент на компьютерах пользователей. Это осуществляется одним из способов:

  1. Включение троянских компонент в пиратское программное обеспечение: модификация распространяемых программ, включение троянской компоненты в «генераторы ключей», «программы для обмана провайдеров» и т.п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с «варезом» (warez, пиратские копии программ).
  2. Использование уязвимостей в программах просмотра Web-сайтов (в первую очередь, Microsoft Internet Explorer) — ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет разместить на WWW-сайте компоненты, которые будут незаметно для пользователя скачаны и выполнены на его компьютере, после чего на компьютер пользователя будет открыт удаленный доступ для злоумышленников. Такие программы распространяются в основном через посещаемые сайты (прежде всего порнографического содержания); летом 2004 года была замечена двухступенчатая схема — массовый взлом сайтов, работающих под управлением MS IIS, модификация страниц на этих сайтах с включением в них вредоносного кода, что привело к заражению компьютеров пользователей, посещавших эти («хорошие») сайты.
  3. Использование компьютерных вирусов, прежде всего распространяемых по каналам электронной почты и использующих уязвимости в сетевых сервисах Microsoft Windows:
    1. все крупные вирусные эпидемии, произошедшие за последний год, были произведены вирусами, которые могли быть использованы для удаленного доступа к пользовательскому компьютеру;
    2. интенсивность попыток использования уязвимостей Windows на сегодня просто чудовищна — подключенная к Интернету стандартная Windows XP без установленного firewall и сервис-паков оказывается зараженной в течение нескольких десятков минут.

Современные вредоносные компоненты являются достаточно развитыми в техническом смысле — их авторы прикладывают значительные усилия для затруднения их обнаружения со стороны (например, провайдером, клиенты которого рассылают спам незаметно для себя). Троянские компоненты могут притворяться интернет-браузером, обращаясь на Web-сайты за инструкциями, что им делать — заниматься DoS-атакой, рассылать спам и т.п. (более того, инструкции могут содержать указание о времени и «месте» следующего получения инструкций). Другой способ замаскированного получения команд заключается в использовании сервиса IRC.

С другой стороны, одно из применений зараженных машин — это сдача их в аренду (например, для рассылки спама). Требование «продаваемости» списка приводит к тому, что вредоносные программы работают по стандартным протоколам (http- или socks-proxy) с номерами портов из небольшого списка, что дает возможность их использования третьими лицами и одновременно облегчает поиск зараженных машин системными администраторами.

Программное обеспечение для рассылки спама

Средняя спам-рассылка имеет на сегодня объем не менее миллионов сообщений. Эти сообщения требуется разослать за небольшое время, чтобы успеть произвести рассылку до перенастройки (или обновления базы данных) антиспам-фильтров.

Быстрая рассылка большого количества E-mail сообщений является технологической проблемой, решение которой требует достаточно больших ресурсов. Как следствие, «на рынке» имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Эти программы на сегодняшний день:

  1. Умеют рассылать как через «открытые сервисы» (почтовые релеи, proxy), так и через зараженные пользовательские машины.
  2. Могут формировать динамический текст письма (см. ниже раздел про формирование текстов).
  3. Достаточно точно подделывают заголовки сообщений — распознавание спама по заголовкам становится нетривиальной задачей.
  4. Могут отслеживать валидность баз данных E-mail адресов.
  5. Могут отслеживать статус сообщения на каждый отдельный адрес — и перепосылать его через другую «точку рассылки» в случае использования на приемной стороне списков запрещенных.

Такие программы оформлены либо в виде сервиса, доступного по подписке, либо как отчуждаемая (покупаемая) программа.

Формирование текста писем

На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-сообщений не является эффективной. Такие письма будут обнаружены многочисленными фильтрами по частотности (повторяемости одинаковых сообщений) настройка фильтров по содержанию письма тоже является тривиальной. Поэтому спам-сообщения сейчас — индивидуальны, каждое следующее отличается от предыдущих. Основные технологии «индивидуализации» сообщений таковы:

  1. Внесение случайных текстов, «шума», невидимых текстов. В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести «невидимый» текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования «спамерского трюка» и отклассифицировать сообщение как спам, не анализируя его текст в деталях.
  2. Графические письма. Рекламное сообщение можно прислать пользователю в виде графического файла — что крайне затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст.
  3. Изменяющиеся графические письма. В графическое сообщение можно внести «шум», что затруднит его анализ фильтром.
  4. Перефразировка текстов. Одно и то же рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст и, только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки.

Эти методы поддерживаются непосредственно в программах для рассылки, поэтому использование конкретного метода индивидуализации сообщений зависит от используемого программного обеспечения.

Поиск клиентов

Судя по всему, основной способ поиска клиентов — это рекламные рассылки (спам). Такие рекламные объявления составляют существенную долю всего спама. Таким же образом рекламируются и другие относительно легальные сервисы, например, программы для рассылки и базы данных E-mail адресов.

Разделение труда

Как видно из вышесказанного, все основные технологические составляющие бизнеса спамеров могут быть использованы независимо. Как следствие, в настоящее время существуют отдельные «производители» вирусов и троянских компонент, отдельные авторы программ для рассылки, отдельные сборщики адресов. Спамеры — а именно те, кто собирает с клиентов деньги и производит рассылку — могут просто арендовать необходимые им сервисы, покупать базы данных, списки рассылающих машин и использовать их. Таким образом, вход на данный рынок является относительно дешевым.

В то же время, очевидно разделение рынка на профессионалов (которые, как правило, обладают чем-то своим: базой данных адресов или программой для рассылки или собственным вирусом), для которых спам является основным источником дохода, и любителей, пытающихся заработать чуть-чуть денег.

Перспективы

Зная стоимость спам-рассылки (порядка $100 за миллион сообщений) и количество рассылаемых в мире сообщений (десятки миллиардов в день), несложно оценить денежный оборот на этом рынке: он составляет сотни миллионов долларов в год. В индустрии с таким оборотом должны появляться «компании полного цикла», осуществляющие весь комплекс услуг «на высоком профессиональном уровне». Единственной проблемой является криминальность всего бизнеса — распространение троянских компонент является уголовным преступлением во всех странах, где есть минимальное количество компьютеров. Сбор персональных данных без ведома пользователя тоже является наказуемым. С другой стороны, интегрированность дает массу неоспоримых технологических преимуществ.

По всей видимости, если подобные вертикальные компании еще не появились, то появление их — дело ближайшего будущего. Пострадавшими будут, естественно, получатели электронной почты.

Современные технологии спамеров

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике