Обзор подготовлен   CNewsAnalytics

Спамеры на острие технологического прогресса

Спамеры на острие технологического прогресса

Появление профессиональных систем рассылок

По состоянию на конец 2003-го года, основная масса спама рассылается с помощью профессиональных систем — специализированного ПО, в разработку которого вложено очень много сил и средств.

Эти системы, в числе прочего, реализуют распределенную рассылку через зараженные троянскими компонентами пользовательские машины. По косвенным данным, используемые системы рассылки позволяют запоминать статус каждого адреса назначения и повторять попытки доставки через разные машины-посредники вплоть до момента успешной доставки. Эта особенность резко снижает эффективность черных списков адресов (RBL-систем).

Использование зараженных компьютеров пользователей

В 2003-м году основное количество спама рассылалось получателям не напрямую, а через посредство подключенных к Интернету пользовательских компьютеров. Чтобы пользовательская машина стала рассыльщиком спама, на нее должно быть установлено «троянское» программное обеспечение, являющееся proxy-сервером (по протоколу SOCKS или HTTP). Такое ПО попадает к пользователю несколькими возможными путями: через файлообменные сети, дыры в безопасности браузеров, заражение вирусом.

Пользовательский компьютер с таким троянским ПО (владельцы компьютера об этом ПО не знают) может быть использован как для рассылки спама, так и для другой нелегальной активности (DDoS-атак, маскировки IP-адреса использующих его лиц и т.п.). Управляется подобное ПО через получение команд со специальных Web-серверов, либо же через интернет-чаты, то есть по IRC-каналам.

Можно с уверенностью утверждать, что в 2003-м году заражение пользовательских машин троянскими компонентами стало специализированным бизнесом, которым занимаются профессионально и с размахом; количество зараженных машин в мире составляет минимум несколько сотен тысяч.

Черные списки работают все хуже

Техническим следствием подобной технологии рассылок является устаревание метода «черных списков» (RBL-методов обнаружения спама). По состоянию на конец года, для рассылки спама ежесуточно используется 20–50 тысяч новых (не известных антиспам-системам) IP-адресов, преимущественно из сетей DSL и кабельных провайдеров США и Европы. Это количество включает в себя как новые зараженные машины, так и машины, получившие от своего провайдера (ISP) новый IP-адрес. В RBL-списки эти адреса попадают с задержкой (часы или даже дни), причем обнаруживаются и попадают в списки далеко не все адреса (от трети до половины).

Так как попытки доставки сообщения могут повторяться с разных IP до момента достижения успеха, а далеко не все используемые таким образом IP-адреса содержатся в популярных «черных списках» RBL, то зачастую использование RBL ведет лишь к увеличению количества отвергнутых сообщений, а общее количество прошедшего сквозь фильтр спама не меняется.

Типовая «спам-машина» образца 2003 г.

К середине 2003 г. сформировался механизм спамерской рассылки, обладающий определенными характерными признаками, своеобразная типовая «спам-машина»:

  • участие в рассылке нескольких десятков тысяч «затрояненных» пользовательских машин;
  • наличие профессионального спамерского ПО и автоматическое скачивание обновлений данного ПО;
  • автоматическая модификация писем при посылке (в том числе, модификация графических изображений)
  • «отладка» письма в реальном времени на почтовых ящиках публичных почтовых систем: многократная посылка разных вариантов сообщений (пока одно из них не «пробьет» антиспамерский фильтр)
  • организация постоянного обмена информацией между спам-серверами (через чаты и удаленные сайты).

Спамеры перешли к «ответным» ударам

Организация распределенных атак на RBL-системы

В течение лета-осени 2003 г. отмечались многочисленные распределенные атаки на наиболее полезные RBL-системы, которые привели к временной неработоспособности систем SPEWS и SORBS и постоянному закрытию RBL-сервиса Osirusoft. С 1-го декабря закрылся сервис Easynet.NL, хотя причина закрытия не разглашается.

Организация спамерских «псевдорассылок»

С осени 2003 года появился новый вид массовых анонимных рассылок, не содержащих никаких предложений. Чаще всего в тексте подобных писем содержится бессмысленный набор символов или проставлена дата, или же письмо вообще не имеет ни текста, ни аттачмента. Необходимость подобных рассылок активно обсуждалась на форумах спамеров. Очевидно, эти рассылки используют время простоя спамерского ПО (когда нет заказа от клиентов), а целью их является общее «замусоривание» почтового трафика и затруднение работы антиспамерского ПО, особенно вероятностных статистических фильтров (байесовских).

Использование спамерских технологий для рассылки вирусов

В июне 2003 года для распространения компьютерного вируса впервые были использованы спам-технологии массовой рассылки копий вируса с анонимного почтового сервера. Речь идет о повальной «эпидемии» новой модификации сетевого червя «Sobig». Использование спамерских технологий позволило вирусу практически мгновенно распространиться по сотням тысяч компьютеров. О том, что данная модификация «Sobig» распространялась как спам, свидетельствуют следующие факты: большинство разосланных зараженных писем в качестве адреса отправителя содержат подставные адреса, которые автоматически генерируются спамерским ПО; IP-адреса источников зараженных сообщений характерны для автоматических спамерских рассылок. С этого момента попытки подобных вирусных атак, производимых с помощью профессионального спамерского ПО, периодически повторяются.

Новые технические приемы обхода фильтров

2003 год характеризуется активным внедрением антиспамерских фильтров. В частности, в мае этого года почтовая служба Mail.Ru установила у себя почтовые фильтры1, использующие не только формальные правила отслеживания спама, но и контентный анализ содержимого писем. Рамблер и Яндекс также внедрили новые фильтры спама в своих почтовых системах2. В результате существенная часть спама в Рунете (до 50%) стала успешно распознаваться и фильтроваться.

Спамер были вынуждены искать новые технические средства борьбы с антиспам-фильтрами. К середине года уже появились принципиально новые технические «трюки» спамеров.

Использование графики

Летом 2003 г. появились первые случаи спамерских рассылок, в которых рекламный текст сообщения был представлен в виде изображения (графического файла). Началось с замены на картинки отдельных букв, но довольно быстро спамеры перешли к полностью графическим письмам.

Наиболее активно в рассылках представлены форматы *.gif и *.jpeg, что связано с хорошей «сжимаемостью» картинок в этих форматах.

К августу 2003 г. количество спама с графикой выросло в геометрической прогрессии, но затем оно стало постепенно уменьшаться, и к настоящему времени ситуация стабилизировалась. Доля писем с «картинками» в среднем составляет всего несколько процентов общего потока спама, и даже в случае особо массовых рассылок не превышает 6–7% от общего спамерского трафика, что обусловлено следующими факторами:

  • в подавляющем большинстве случаев для каждого письма из спамерской рассылки используется один и тот же набор картинок, что позволяет сразу же распознать массовую рассылку при помощи простейших детекторов массовости;
  • создание уникальных изображений для каждого письма требует наличия специализированного ПО, при этом упаковка большого количества изображений является длительной операцией и существенно снижает скорость рассылки писем. А это, в свою очередь, облегчает задачу отслеживания источников данной рассылки.

Модификация текста сообщения

Один из популярных и наиболее перспективных технических приемов спамеров — это всевозможные модификации текста сообщения, а именно, следующие.

Добавление к исходному тексту сообщения случайных текстовых блоков

Прием состоит в автоматической генерации случайных последовательностей символов, слов или целых фрагментов текста и добавлении их к исходному письму. В большинстве случаев подобные искусственные «вкрапления» в текст письма располагаются в конце сообщения, т.е. вне зоны активного пользовательского внимания. В результате качество восприятия текста практически не ухудшается. Не страдает и рекламная составляющая письма.

Такие приемы могут обмануть только простейшие фильтры, основанные на расчете и сравнении «строгих» контрольных сумм сообщений. Современные фильтры используют более сложные методы, чем простое сравнение строгих контрольных сумм.

Модификация слов в тексте письма

Приемы, основанные на модификации написания отдельных слов, в той или иной степени ухудшают «читаемость» письма. К таким приемам относятся:

  • использование небуквенных символов для разбиения слова (например, пробелов или точек, как в слове «v.i.a.g.r.a»);
  • использование одинаковых по написанию букв разных алфавитов (например, буква «эс» русского и «си» латинского алфавитов не отличаются внешне, но использование случайных замен на латинские буквы в русских словах может привести к существенному ухудшению качества работы лексических фильтров);
  • произвольное удвоение букв в словах или «дребезг клавиатуры» в терминологии спамеров («уддвоеение»);
  • перестановка букв в словах («пеерстанвока»).

С некоторыми из этих способов антиспамерские фильтры могут справиться достаточно легко (тот же «дребезг клавиатуры»), с другими ситуация сложнее, но в любом случае страдает «читаемость» сообщения — адресату подобный текст сложнее прочитать, чем текст без ошибок.

Соответственно, можно ожидать, что рекламный отклик от таких сообщений будет заметно меньше, что вряд ли обрадует заказчиков рассылок. Скорее всего, эти приемы не смогут распространиться слишком широко.

HTML-трюки

Технические приемы, основанные на возможностях использования языка HTML, и на отличиях в отображении текстов HTML различными браузерами, можно условно поделить на две группы:

  • добавление в сообщения «невидимого» текста (например, набранного тем же цветом, что и фон сообщения);
  • использование различных размеров шрифта — крупно отображаются значимые фрагменты текста, а мелким, практически невидимым шрифтом набирается случайный текст.

Спамеры пытаются использовать особенности в показе текста сообщения в формате HTML у широко распространенных браузеров (Internet Explorer, Mozilla, Opera), чтобы создать ситуацию, когда один и тот же текст по-разному воспринимается человеком и фильтром. В результате контентные фильтры не срабатывают, так как пытаются обработать текст, значительно отличающийся от того, который видит пользователь.

Современные спам-фильтры включают в себя разборщики файлов в формате HTML (включая таблицы стилей CSS) с детекторами невидимого текста. На текущий момент приемы по созданию двойственного представления одного и того же документа довольно эффективно распознаются и обрабатываются современными средствами фильтрации.

Ашманов и Партнеры


  1. Фильтр Антиспам Касперского (разработанный ЗАО «Ашманов и Партнеры»).
  2. На Яндексе детектор массовых рассылок на основе механизма «шинглов» был установлен в ноябре 2002 года.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.

Toolbar | КПК-версия | Подписка на новости  | RSS