|
|
Противостояние технологий защиты и рассылки
Главный тренд развития спамерских технологий — уход от централизации и бoльшая анонимность. Весь 2005 год для спамеров прошел под знаком «зомби-сетей», и этот способ рассылки только укрепил свои позиции в 2006-ом.
В результате настоящей войны против открытых релеев, почтовых серверов, через которые любой желающий мог отправлять почту, эти инструменты рассылки спама стали неактуальными. Анонимные аккаунты на виртуальных хостингах, купленные по украденным номерам банковских карт, тоже потеряли свою популярность: слишком немного времени проходит до момента обнаружения махинаций с кредиткой, да и найти хостинг-провайдеров, закрывающих на рассылку спама глаза, все труднее. В настоящий момент практически весь спам рассылается при помощи «зомби-сетей». Данный способ стал актуальным несколько лет назад, и сегодня его позиция только укрепляется.
Главное оружие спамеров
«Зомби-сеть», иначе ботнет, представляет собой некое число невзаимосвязанных ПК, имеющих выход в интернет и зараженных троянской программой. Распространяться эта программа может как теми же спамерскими рассылками, так и загружаться вирусом, предварительно проникшим в ПК через уязвимость операционной системы браузера или почтового клиента. Инфицированная машина выходит на связь с управляющим сервером и ожидает команды. Эта может быть и команда сбора пользовательской информации (логинов и паролей к различным ресурсам, номеров кредитных карт, данных адресной книги), и участие в DDoS-атаке, и, наконец, рассылка спама. При этом хозяин ПК даже не подозревает о том, что творится на его компьютере.
При построении «зомби-сетей» важную роль спамеры отводят быстрому, удобному и стабильному управлению. При этом канал управления должен быть максимально анонимным, чтобы при обнаружении «центра управления» нельзя было бы найти «куратора» данной «зомби-сети». Поэтому они используют публичные интернет-сервисы, предоставляемые на анонимной основе. Одним из наиболее популярных инструментов стали IRC-сервера (Internet Relay Chat), на которых владелец сети создает частный канал с жесткими параметрами доступа: он не виден остальным пользователям IRC-сервера, для входа в канал требуется знание пароля и т.д.
Несмотря на то, что администраторы IRC-серверов пытаются бороться со злоумышленниками, для спамера не составляет труда сменить на время сервер или IRC-канал, а троянские программы «умеют» обнаруживать новые «центры управления» автоматически.
Любопытным является тот факт, что в условиях, когда в Сети ежедневно действуют более 10 тысяч независимых «зомби-сетей» (по данным компании Symantec), порой интересы их «хозяев» пересекаются на конкретном ПК. В этом случае один троянец, перед тем как запуститься ищет своих «конкурентов» на том же компьютере, удаляет их и начинает работать сам. Порой в интернете разворачиваются невидимые войны, когда один вредоносный код «освобождает от оккупации» тысячи ПК и оккупирует их сам.
Размеры «зомби-сетей» могут превышать один миллион ПК. Рекордсменом пока остается сеть из 1,5 млн. компьютеров, управлявшаяся задержанными в 2005 году в Голландии спамерами. Незаметное проникновение, заражение, конфигурирование и управление подобной сетью является нетривиальной инженерной задачей, свидетельствующей о высокой квалификации профессиональных спамеров.
Компания Microsoft провела эксперимент, в ходе которого в Сети на 3 недели был размещен ПК без установленного антивируса и использующий широкополосное соединение. За этот период к ПК дистанционно обратились около 5 млн. раз, пытались разослать 18 млн. спамерских сообщений, рекламирующих 13 тысяч веб-сайтов. Для борьбы с «зомби-сетями» крайне важно — как домашним, так и корпоративным пользователям — осознавать необходимость наличия клиентского антивирусного ПО на каждом ПК. При его отсутствии, компьютер, совершенно незаметно для своего хозяина, становится орудием в руках злоумышленников.
Распространение «зомби-сетей» подталкивает системных администраторов использовать фильтрацию спама не только для входящей, но и исходящей почты, чтобы своевременно обнаруживать «зомби» в своей сети. В противном случае это может привести к попаданию корпоративной или провайдерской сети в так называемые DNSBL-списки (DNS-based Block Lists), блокирующие IP-адреса с которых рассылается спам. Такие списки (типичные примеры — Spamhaus, Spamcop и др.) хороши тем, что осуществляют заслон спаму еще на уровне начала SMTP-сессии и, тем самым, разгружают почтовые сервера, экономят трафик, не принимая письма отнесенные к спамерским. Побочный же эффект — высокая доля ложных срабатываний, блокирование легальных сообщений, которые при этом даже нельзя позднее найти в карантине — ведь они даже не приняты сервером.
Стоит отметить, что использование клиентского антивируса хоть и оградит ПК от превращения в «зомби», но никоим образом не спасет от получения спама во входящей почте.
Рассылки совершенствуются
Новейшие направления развития «спамерской мысли», вызванные постоянной борьбой за преодоление спам-фильтров — быстрые рассылки и рассылки с обратной связью. Первые нацелены на то, чтобы обогнать обновления популярного антиспам-ПО, вторые же — автоматически модифицируют свое содержание, «подстраиваясь» под бреши в фильтрах.
Последние два года отмечается постоянный рост скорости прохождения спамерской рассылки. Если до этого для отправки миллионов сообщений могло понадобиться несколько суток, то начиная с 2004-2005 годов этот срок стал приближаться к нескольким часам, а сейчас порой достигает 10-15 минут. И действительно, если раньше «узким местом» для спамеров являлось ограниченное число используемых для рассылки серверов, то теперь совершить ощутимый скачок в скорости им позволяют сотни тысяч и миллионы «зомби-ПК» в распределенной сети.
Для борьбы с «быстрыми рассылками» все чаще применяют средства детектирования массовости сообщений (такие как DCC, Razor, Pyzor), доступные крупным провайдерам или антиспам-вендорам. Сообщения в «быстрых рассылках» либо идентичны, либо отличаются друг от друга крайне незначительно. Это позволяет достаточно быстро определить аномалию — одновременную рассылку множества условно одинаковых писем с тысяч разных ПК по всему миру — и заблокировать прием этой почты. С другой стороны, существует множество легальных рассылок, которые нельзя относить к спаму, поэтому слабым местом подобных систем является их способность отличить «большую» рассылку от спамерской рассылки.
Помимо скорости рассылки, спамеры анализируют и результат ее прохождения (заблокирована ли она тем или иным популярным спам-фильтром). Если в какой то момент рассылка перестала приходить на тестовые почтовые ящики — письма в рассылке модифицируются, чтобы «обмануть» антиспам-ПО. Для подобных модификаций применяются самые разнообразные методы — шаблоны писем с вариативными частями, «невидимый текст» в HTML, зашумление спам-картинок, словари синонимов, делающие каждое письмо почти уникальным и др.
Поскольку рассылки данного типа требуют еще более сложной координации разрозненных «зомби-компьютеров» — они могут длиться и по нескольку дней.
Появление подобного рода рассылок свидетельствует о том, что спамерские группы организуют целые собственные службы в противовес круглосуточным спам-лабораториям ведущих вендоров.
Вендорские антиспам-лаборатории — достаточно мощное оружие в борьбе со спамом. Такие службы (как правило, круглосуточно) отслеживают ситуацию со спамом в интернете, обновляют продукты, установленные у пользователей сигнатурами обнаруженного спама или лингвистическими эвристиками, постоянно анализируют новые спамерские технологии с тем, чтобы совершенствовать способы противостояния им. Примерами использования таких служб являются такие компании как Symantec или «Лаборатория Касперского».
Существует и противоположный подход к постоянному анализу спамерских сообщений, основанный на том, что этот процесс должен быть полностью автоматическим. Его демонстрируют продукты, основанные на алгоритме Байеса. Такие продукты проходят первичное «обучение», когда на вход программе подаются определенные как спам сообщения. Это обучение может осуществляться как пользователем, так и вендором, с использованием накопленных баз спама. После первичного обучения продукт создает «словари», учитывающие какие слова, с какой частотой, с какой вероятностью и находясь в каких частях письма, — указывают на то, что письмо является спамом.
Применение байесовских алгоритмов позволяет отказаться от «черных списков» и постоянного обновления ПО. Однако эффективность таких решений достаточно нестабильна — они могут удовлетворительно фильтровать на одних потоках спама, работая из рук вон плохо на других.
Разделение труда
Неприятной тенденцией является усиливающийся криминальный уклон спамерской деятельности. Он проявляется в миграции в сторону рекламы наркотиков, оружия, устройств «обмана» игровых автоматов, поддельных лекарств и т.д., — т.е. тех товаров, для которых закрыты легальные рекламные каналы. Особенно отчетливо этот тренд проявляется в странах, где незапрошенные рассылки поставлены вне закона и легальный бизнес постепенно уходит от рекламы с помощью спама. На смену им, к спамерам идут те, кто и сам вне закона.
Другим примером криминализации спама является фишинг — поддельные сообщения, якобы адресованные от банка или платежной системы, предлагающие зайти на такой же поддельный сайт (предстающий для пользователя точь-в-точь таким же, как и оригинал), чтобы ввести свои пароли, PIN-коды, персональные данные.
Еще одним способом использования мошенниками спама в своих целях являются так называемые «нигерийские письма» — когда не применяя сколь бы то ни было сложных технологий (подделки сайтов, DNS-записей и т.д.) — мошенники, тем не менее, успешно манипулируют на человеческих слабостях. Например, предлагают помочь некоему нигерийскому (эфиопскому, российскому и т.д.) миллионеру в бегах «отмыть» его деньги — естественно за отличный процент и естественно с использованием банковского счета получателя письма. В итоге деньги не поступают на счет жертвы, а благополучно с него списываются.
Технически фишинг и «нигерийские письма» — это лишь содержательная часть спамерской рассылки. Поэтому для борьбы с этой напастью применяются все те же технологии фильтрации спама. В дополнение к ним, специализированные организации (такие, как например, Anti-Phishing Working Group, поддерживаемая множеством вендоров) ведут списки известных фишерских сайтов. Попытка отправить пользователя на один из них может восприниматься как сигнал заблокировать письмо на сервере или для предупреждения пользователя, использующего специальный плагин в браузере.
Спамеры активно применяют разделение труда в своей деятельности. Можно выделить несколько основных «специальностей». Во-первых, это подготовка баз данных адресов. Адреса могут генерироваться автоматически, перебором, и проверяться на существование, могут собираться на веб-страницах в интернете. Возможно использование украденных персональных данных — этот тип особенно опасен, т.к. позволяет злоумышленникам отправлять спам якобы от лица знакомого получателям человека. Во-вторых, это создание ПО для рассылки спама, написание троянских программ, совершенствование технологий рассылки. В-третьих, это продажа спамерских услуг без рассылки или непосредственно с рассылкой спама. В чертвертых, это создание «зомби-сетей» и последующая их «сдача в аренду».
Подобное ролевое деление четко демонстрирует появление подпольного, криминального «рынка», где уже невозможно провести грани между вирусописателями (создание вредоносного ПО и его распространение — суть создание «зомби-сетей») и спамерами (рассылка с использованием инфицированных «зомби-компьютеров», в т.ч. и рассылка вирусов и троянских программ).
Спам на шаг впереди
Что же касается технологий противодействия спаму, стоит подчеркнуть три вещи.
Не существует 100 % защиты от спама, и, внедряя систему защиты почтовой системы, не стоит строить иллюзий о том, что ни одно непрошенное сообщение не попадет в почтовые ящики пользователей.
Ложные срабатывания — это большая неприятность и для пользователей, и для администраторов почтовой системы. Выбирая или настраивая ту или иную антиспам-систему, стоит помнить о том, что порой нужно поступиться несколькими процентами в уровне детектирования ради уверенности в том, что легальные сообщения достигнут своих адресатов.
Ни один из методов фильтрации спама, будь то «черные списки», лингвистические методы, байесовские алгоритмы, детектирование массовости и др., не обладает достаточным потенциалом для достижения приемлемого баланса уровня детектирования спама и уровня ложных срабатываний. Поэтому все лидирующие решения в области антиспам-ПО строятся на базе комплексного подхода к фильтрации спама и объединения ряда мощных технологий в одном продукте.
Виктор Дронов
|
|