Thread-topic: Spamtest: Технические особенности рассыл ки спама
>
> Технические особенности рассылки спама
>
>
> За прошедшее полугодие не появилось никаких принципиально
> новых технологий рассылки спама, но произошло
> последовательное развитие существующих технологий.
>
> Программное обеспечение современных спамеров имеет сложную
> организацию, куда входят следующие компоненты:
>
> * Вирусы, заражающие персональные компьютеры.
> * Распределенные средства управления зомби-сетями.
> * Средства удаленного управления персональными
> компьютерами и серверами.
> * Автоматические генераторы сообщений по шаблонам.
>
> Уровень сложности этих компонентов стал столь высок, что
> что-либо принципиально новое в рассылке спама уже не может
> появиться за несколько месяцев, вместо этого идет
> эволюционное развитие существующих методов рассылки спама.
>
> Как и прежде, для рассылки спама используются: сети
> зомби-компьютеров (ботнеты); веб-сервера, уязвимости в
> популярном серверном ПО.
>
> Сети зомби-компьютеров
>
>
> Основной объем спама рассылается через сети зомби-компьтеров
> (ботнеты). Количество таких сетей неуклонно увеличивается, и
> сами сети объединяют все больше машин. Хотя зафиксированный
> голландской полицией рекорд прошлого года, арестовавшей
> создателей сети из полутора миллионов персональных
> компьютеров, до сих пор не был превзойден. К сожалению, из
> этого не следует, что таких больших сетей зомби-компьютеров
> не существует, скорее всего, пока не удается их вычислить и
> найти владельцев сети.
>
> Типовой способ управления зомби-сетями постепенно мигрирует с
> протокола IRC на протокол HTTP. При этом для централизованных
> сетей (то есть имеющих некоторый узел управления, к которому
> присоединяются остальные зомби-компьютеры) центр управления
> все чаще располагается на <спамоустойчивом> выделенном
> сервере (Под <спамоустойчивым> сервером понимается сервер,
> арендованный у провайдера, лояльно относящегося к
> использованию его мощностей в качестве источников спама,
> игнорирующего жалобы на адрес abuse и т.п. Обычно такие
> провайдеры находятся за пределами стран, имеющих
> законодательство, регулирующее распространение спама.). Тем
> самым, выделенные сервера получают вторую жизнь не как
> источники спама, а как центры управления зомби-сетями.
>
> Кроме того, стали чаще появляться децентрализованные сети
> зомби-компьютеров, в которых каждый <зомби> пытается
> соединиться с максимальным числом других, а команды
> управления передаются от одного компьютера к другому по всей
> сети. Управление подобными сетями происходит через любой из
> компьютеров, входящих в сеть.
>
> В качестве противодействия сетям зомби-компьютеров,
> интернет-провайдеры, предоставляющие доступ в Интернет
> конечным пользователям, устанавливают для своих пользователей
> следующие ограничения:
>
> 1. Запрет на непосредственную рассылку почты иным почтовым
> релеям, кроме принадлежащего провайдеру. Это нужно для
> получения контроля над всей исходящей почтой.
> 2. Контроль количества исходящих почтовых сообщений за
> единицу времени от одного пользователя. Отключение
> пользователя или существенное ограничение возможности
> отправлять электронную почту при превышении определенного
> порогового количества.
> 3. Фильтрация содержимого отправляемых писем теми же
> фильтрами, которые используются для входящей почты.
>
> Такие меры позволяют ограничить рассылку спама зомби-сетями,
> рассылающими его напрямую или большими количествами с одного
> и того же компьютера, и при этом не являются обременительными
> для обычного пользователя. В ответ на это спамеры стали
> использовать большее количество зомби-компьютеров для
> производства спамерских рассылок, тем самым сокращая
> количество писем приходящееся на одну зомби-машину. Еще один
> способ рассылки, который стали использовать спамеры -
> рассылка спама через почтовый сервер провайдера, который
> определяется сканированием сети или с помощью анализа
> настройки почтового клиента пользователя.
>
> Веб-сервера: уязвимости в популярном серверном ПО
>
>
> Основная идея рассылки спама с использованием веб-серверов и
> уязвимостей в серверном ПО аналогична идее использования
> бот-сетей: злоумышленникам необходимо заставить сервер
> выполнить нужные им операции. Однако поиск уязвимостей
> производится не в персональных компьютерах, а в серверах,
> обычно работающих под управлением операционных систем Unix,
> немного отличаются способы заражения и управления, а также
> использования найденных уязвимостей.
>
> Заражение веб-серверов происходит примерно по следующей
> схеме: Исследуя исходные тексты популярного серверного ПО,
> написанные на языке программирования, злоумышленник ищет
> уязвимости, с помощью которых можно получить доступ к
> ресурсам сервера. В основном, поиск уязвимостей производится
> в интерпретаторе PHP, популярных движках форумов или блогов.
>
> 1. При помощи поисковых систем (Google, Yandex и т.д.)
> разыскиваются веб-узлы, на которых установлено программное
> обеспечение, содержащее в себе уязвимости.
> 2. Уязвимости используются для того, чтобы установить на
> сервер скрипты, позволяющие удаленно выполнить какие-либо
> команды или модифицировать данные, доступные веб-серверу.
>
> После этого найденный доступ можно использовать для рассылки
> спама или DDoS-атак.
>
> Такое использование сервера может быть достаточно быстро
> замечено системным администратором, который ликвидирует как
> вредоносный код, так и саму уязвимость.
>
> Другое использование, менее заметное для владельца сервера,
> заключается в интеграции в html-код зараженных ресурсов
> вирусов, заражающих интернет-браузеры посетителей, -
> соответственно, чем популярнее ресурс, тем больше
> персональных компьютеров рискуют превратиться в зомби через
> уязвимости браузеров.
>
> Спам в форумах
>
>
> В прошлом году мы писали о том, что не только эл. п. Служит
> спамерам для осуществления их целей - спамеры начали
> осваивать другие каналы: средства instant messaging (ICQ,
> MSN), сотовые телефоны (SMS, MMS). Однако на этом они не
> остановились. Значительно увеличилось количество спама в
> популярных форумах и лентах комментариев блогов.
>
> Раньше спам подобного типа был предназначен не для прочтения
> людьми, а для обмана поисковых систем, т.е. Повышения
> рейтинга рекламируемого сайта за счет большего количества
> ссылок на него. Для распространения такого спама в основном
> использовались <забытые> форумы, хозяева которых больше не
> следят за их состоянием.В прошедшем полугодии начала расти
> доля спама, который несет рекламную информацию и предназначен
> для прочтения людьми. Внешне такой спам имитирует обычные
> сообщения на форумах. Для его распространения выбираются
> наиболее посещаемые форумы и блоги, часто подходящие по
> тематике рекламируемых товаров или услуг.
>
> Графический спам
>
>
> Хитом первого полугодия 2006 года стал <графический> спам, то
> есть спамерские рассылки, в которых основная информация
> находится на приложенной к письму картинке, а не в тексте
> письма. Количество такого спама неуклонно растет.
> Одновременно спамеры модифицируют ПО для подготовки и
> рассылки <графического> спама. В частности, появились
> следующие новшества:
>
> 1. Повороты исходных картинок на случайные углы.
> 2. Разрезание картинок на части и представление их вместе
> средствами языка разметки HTML.
> 3. Графическое представление отдельных букв - разных в
> разных образцах одной и той же спам-атаки. (Строго говоря,
> это не столько новшество, сколько попытка реанимации очень
> старого графического трюка. Подобных примеров не было уже
> более 1,5 лет, поэтому мы позволили себе отнести эти попытки
> к разряду новинок этого полугодия.)
>
> Новые трюки, разрабатываемые спамерами, преследуют ту же
> цель, что и более старые способы обхода спам-фильтров: внести
> в изображение <шум>, который не позволит фильтрующему модулю
> сгруппировать спам-рассылку и идентифицировать графические
> вложения в рассылке как одинаковые по контрольной сумме.
>
> Любое новшество спамеров требует модификации программного
> обеспечения, которое они используют. А это уже - время,
> деньги и людские ресурсы. Значит, если спамеры начали работу
> в каком-то направлении, то на текущий момент именно такой
> спам наиболее успешно пробивает почтовую защиту.
>
> Сегодняшние спам-атаки с применением графических <новинок>
> являются англоязычными и ориентированы прежде всего на
> западного пользователя. Чаще всего в <графическом> спаме
> встречаются предложения лекарственных препаратов, дешевого
> ПО, швейцарских часов, попытки биржевых спекуляций.
>
> В Рунете волна экспериментов с <графическим> спамом прошла
> два года тому назад, но затем спамеры, работающие на рынке
> Рунета, практически прекратили опыты с графикой,
> ограничившись теми технологиями и наработками, которые были
> созданы ими в 2004 году.
>
> Примеры графических <новинок> первого полугодия 2006 года см.
> на сайте Спамтест.
>
> Выводы
>
>
> 1. Доля спама в почте по-прежнему высока: 75-78%. К
> середине лета неожиданно наметилась тенденция роста доли
> спама. Июнь закончился на показателе 82,2%.
> 2. Чаще всего пользователи получали спам следующих
> тематических категорий: <компьютерное мошенничество>,
> <фармацевтика> (в основном представленная виагрой и подобными
> средствами), <образовательные услуги>.
> 3. В Рунете появился новый вид мошеннического спама. Это
> спам, призывающий получателя под тем или иным предлогом
> отправить SMS определенного вида (содержащее заданное кодовое
> слово и/или номер) на номер платного сервиса. Цель спамеров:
> перечисление денег на их личные счета.
> 4. Происходит эволюция существующих методов рассылки спама.
> 5. Спамеры осваивают форумы и блоги.
> 6. Графический спам: новый виток развития спамерских технологий.
>
>
> Этот выпуск в архиве
> <
