Si en su cliente de correo tiene una carpeta donde almacena el spam, haga una búsqueda por archivos adjuntos con extensión .pdf, a buen seguro encontrará unos cuantos ejemplos. Es la penúltima moda para intentar evitar los filtros antispam, si durante los últimos meses la avalancha de mensajes no deseados llegaba con imágenes, ahora le toca el turno al formato PDF.
Las soluciones antispam suelen combinar diferentes técnicas para poder determinar si un mensaje es spam o no. Pueden analizar ciertas cabeceras del mensaje, realizar diversas comprobaciones sobre el servidor que realiza el envío, compararlo con listas negras, utilizar firmas basadas en patrones estáticos y dinámicos, aplicar filtros bayesianos, etc.
Este mismo arsenal de técnicas está a disposición de los spammers, van probando contra ellas diferentes estrategias para buscar eludir este tipo de barreras y conseguir que el mensaje no deseado llegue sí o sí a nuestros buzones.
Por ejemplo, una de las técnicas más explotadas para evitar la detección basándose en el análisis del texto consiste en enviar el mismo mensaje pero "dibujado" en una imagen adjunta. De esta forma, aparte de poder dibujarle la pastillita azul junto con sus propiedades, precios, etc, lo que buscan es que el nombre de la pastillita no aparezca escrito en texto plano en el cuerpo del mensaje y pueda hacer sospechar al filtro antispam.
Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto que era dibujado en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir "ruido" en las imágenes para dificultar el reconocimiento automático por este tipo de software.
Esa es la razón por la que en ocasiones las imágenes con texto que nos llegan por spam estén distorsionadas, con caracteres multicolor, parezcan mal enfocadas, o tengan líneas por encima del texto. No es que los spammers sean muy malos diseñadores o tengan muy mal gusto, la explicación es que quieren dificultar la labor a los filtros antispam.
Aprovechando que la inmensa mayoría de los ordenadores de hoy día cuentan con un visualizador de archivos PDF, que se ha convertido en un formato universal y que goza de buena "reputación" (suele utilizarse para compartir documentación), los spammers han decidido que también puede ser una buena vía para sus objetivos.
Como el texto de los archivos PDF es interpretable, puede llegar a ser procesado por motores antispam, ellos también demuestran que saben combinar técnicas y han decido utilizar las imágenes con el mensaje distorsionado incrustadas en el PDF.
He aquí un ejemplo:
http://blog.hispasec.com/laboratorio/images/noticias/spam-pdf.PNG
Que no cunda el pánico, el anterior mensaje lo saqué de mi carpeta de spam, el filtro funcionó. La guerra continúa.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3167/comentar
Bernardo Quintero
jueves, 28 de junio de 2007
lunes, 18 de junio de 2007
El botnet tradicional ha muerto... ¡viva el botnet P2P!
Según Prolexic (compañía dedicada a mitigar ataques de denegación de servicio), se está observando un nuevo fenómeno a la hora de realizar ataques DDoS contra servidores. Cada vez con mayor frecuencia, se están utilizando las redes P2P para realizar este tipo de fechorías, en vez del típico botnet basado en un C&C (Command and control) y esclavos "zombies".
Estos ataques ya fueron descritos por investigadores de la Polytechnic University en Brooklyn el año pasado, pero no ha sido hasta principios de 2007 que se han visto casos reales que han conseguido implementarlo.
En las últimas semanas, según Prolexic, está siendo cada vez más utilizado.
Según el problema descrito por la universidad de Brooklyn, existe un fallo asociado a las redes P2P y el protocolo que utilizan. En su estudio en concreto, se centraban en Overnet (red anteriormente usada por eDonkey y cerrada por la RIAA, Recording Industry Association of America).
El problema se basa en el envenenamiento de rutas o de índices en P2P.
Un atacante podría manipular estos registros para hacer creer a los clientes que los ficheros "populares" se encuentran en una dirección IP y puerto concretos, que pueden ser designados por el atacante. Esta dirección IP no tiene por qué ser participante de la red P2P ni, por supuesto, contener el fichero que le está siendo requerido, de forma que una petición masiva puede llegar a agotar los recursos de red de la víctima. En la universidad de Brooklyn, creando un software cliente a medida y redirigiendo el tráfico a uno de sus propios servidores, pudieron comprobar lo sencillo que resultaba abrumar de tráfico un ancho de banda gracias a peticiones de los miles de usuarios de la red.
Según Prolexic, que ha visto en las últimas semanas cómo estos estudios teóricos se llevaban a la vida real, se han llegado a utilizar hasta 100.000 máquinas para realizar estos ataques. La ventaja frente al botnet "tradicional" es que el atacante no tiene que comunicarse directamente con las máquinas que controla. Si consigue modificar estos registros en el tráfico P2P y modificar los índices, todo el tráfico de los potenciales clientes que soliciten un fichero popular irá a parar a un mismo sitio definido por el atacante. Se podría hablar de un "secuestro" de la red P2P.
La implementación del protocolo en DC++ (un cliente de redes P2P de código abierto) era vulnerable a este tipo de modificaciones. Sus creadores han publicado una nueva versión que corrige estas deficiencias y protege a los usuarios de este tipo de modificaciones no deseadas. Han reconocido también que su software estaba siendo "engañado" para llevar a cabo este tipo de ataques. Los descubridores no descartan que otras redes P2P hereden estos problemas.
Quizás con estas nuevas técnicas de "reclutamiento de zombies" más "cómodas" para los atacantes, la extorsión por denegación de servicio distribuida (obligar al pago de grandes sumas para que una web "no sea
atacada") vuelva a ser "rentable". No hace mucho, Symantec hablaba de un cierto abandono de estos métodos, pues ya no resultaba tan lucrativo para los que controlaban las botnets como el envío de spam y la distribución de malware.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3134/comentar
Más información:
P2P DDoS Attacks
http://www.prolexic.com/news/20070514-alert.php
P2P Networks Hijacked for DDoS Attacks
http://news.netcraft.com/archives/2007/05/23/p2p_networks_hijacked_for_ddos_attacks.html
Exploiting P2P Systems for DDoS Attacks
http://cis.poly.edu/~ross/papers/p2pddos.pdf
DoS extortion is no longer profitable
http://www.symantec.com/enterprise/security_response/weblog/2007/04/dos_extortion_is_no_longer_pro.html
Sergio de los Santos
ssantos@hispasec.com
Estos ataques ya fueron descritos por investigadores de la Polytechnic University en Brooklyn el año pasado, pero no ha sido hasta principios de 2007 que se han visto casos reales que han conseguido implementarlo.
En las últimas semanas, según Prolexic, está siendo cada vez más utilizado.
Según el problema descrito por la universidad de Brooklyn, existe un fallo asociado a las redes P2P y el protocolo que utilizan. En su estudio en concreto, se centraban en Overnet (red anteriormente usada por eDonkey y cerrada por la RIAA, Recording Industry Association of America).
El problema se basa en el envenenamiento de rutas o de índices en P2P.
Un atacante podría manipular estos registros para hacer creer a los clientes que los ficheros "populares" se encuentran en una dirección IP y puerto concretos, que pueden ser designados por el atacante. Esta dirección IP no tiene por qué ser participante de la red P2P ni, por supuesto, contener el fichero que le está siendo requerido, de forma que una petición masiva puede llegar a agotar los recursos de red de la víctima. En la universidad de Brooklyn, creando un software cliente a medida y redirigiendo el tráfico a uno de sus propios servidores, pudieron comprobar lo sencillo que resultaba abrumar de tráfico un ancho de banda gracias a peticiones de los miles de usuarios de la red.
Según Prolexic, que ha visto en las últimas semanas cómo estos estudios teóricos se llevaban a la vida real, se han llegado a utilizar hasta 100.000 máquinas para realizar estos ataques. La ventaja frente al botnet "tradicional" es que el atacante no tiene que comunicarse directamente con las máquinas que controla. Si consigue modificar estos registros en el tráfico P2P y modificar los índices, todo el tráfico de los potenciales clientes que soliciten un fichero popular irá a parar a un mismo sitio definido por el atacante. Se podría hablar de un "secuestro" de la red P2P.
La implementación del protocolo en DC++ (un cliente de redes P2P de código abierto) era vulnerable a este tipo de modificaciones. Sus creadores han publicado una nueva versión que corrige estas deficiencias y protege a los usuarios de este tipo de modificaciones no deseadas. Han reconocido también que su software estaba siendo "engañado" para llevar a cabo este tipo de ataques. Los descubridores no descartan que otras redes P2P hereden estos problemas.
Quizás con estas nuevas técnicas de "reclutamiento de zombies" más "cómodas" para los atacantes, la extorsión por denegación de servicio distribuida (obligar al pago de grandes sumas para que una web "no sea
atacada") vuelva a ser "rentable". No hace mucho, Symantec hablaba de un cierto abandono de estos métodos, pues ya no resultaba tan lucrativo para los que controlaban las botnets como el envío de spam y la distribución de malware.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3134/comentar
Más información:
P2P DDoS Attacks
http://www.prolexic.com/news/20070514-alert.php
P2P Networks Hijacked for DDoS Attacks
http://news.netcraft.com/archives/2007/05/23/p2p_networks_hijacked_for_ddos_attacks.html
Exploiting P2P Systems for DDoS Attacks
http://cis.poly.edu/~ross/papers/p2pddos.pdf
DoS extortion is no longer profitable
http://www.symantec.com/enterprise/security_response/weblog/2007/04/dos_extortion_is_no_longer_pro.html
Sergio de los Santos
ssantos@hispasec.com
Suscribirse a:
Entradas (Atom)