Электронный журнал "Спамтест" No. 544 В этом номере: Новости Новости Dark Mail обретает плоть и кровь Участники технического альянса Dark Mail опубликовали спецификации защищенной почтовой системы, использующей сквозное шифрование. Этот документ выполнен как руководство по внедрению для разработчиков и содержит описание предлагаемой в качестве стандарта экосистемы Dark Internet Mail Environment (DIME) и элементов, необходимых для ее успешной реализации, включая протоколы передачи/доступа и формат электронных сообщений. На GitHub выложен также пробный («пре-альфа», как называют его авторы) набор библиотек, позволяющих создавать программные продукты с поддержкой DIME. Напомним, проект Dark Mail был запущен в конце октября 2013 года на базе объединенных ресурсов Lavabit и Silent Mail – защищенных почтовых сервисов, закрытых в знак протеста против растущего интереса американских спецслужб к учетным записям пользователей. Над созданием новой платформы для надежной, гарантирующей приватность почты трудятся такие известные специалисты, как основатель Lavabit Ладар Левисон (Ladar Levison), экс-глава компании Silent Circle Майк Янке (Mike Janke), автор PGP Филипп Циммерман (Philip R. Zimmermann), а также Джон Каллас (Jon Callas), разработчик стандарта OpenPGP и криптостойкого протокола ZRTP для систем VoIP. Краеугольным камнем DIME-модели являются многослойное шифрование со своей парой публичный-приватный ключ для каждого звена и многоуровневая система управления ключами. При этом шифруется все: и текст сообщения, и метаданные, и вложенные документы. Как справедливо замечено в публикации OpenNET, данная концепция отличается тем, что шифрование и расшифровка осуществляются лишь на стороне клиента, а серверы оперируют обезличенными наборами данных. «Системы с обеспечением шифрования на стороне сервера не могут обеспечить должный уровень защиты и стоят перед выбором: предоставить доступ к средствам шифрования, как в случае со Skype, или прекратить свою работу, отказавшись предоставить ключи шифрования, как в случае с Lavabit, – напоминают журналисты. Каждый участник пересылки в рамках DIME имеет доступ лишь к той информации, которая ему важна. Автор письма и реципиент знают, кто послал сообщение и куда оно должно быть доставлено, но почтовик отправителя эту информацию слить не может, он расшифровывает лишь ту часть сообщения, которая уточняет почтовый сервер-получатель. Последнему известны сервер-адресат и получатель, но не отправитель. Если разделить процесс пересылки на четыре основных этапа, то каждый участник цепочки «автор – сервер-источник – сервер-адресат – получатель» сможет идентифицировать лишь соседа справа или слева. Такая секретность достигается разделением путей доставки метаданных и контента. Примечательно, что поддержку DIME можно легко интегрировать в существующие сервисы передачи сообщений. По замыслу авторов, эта система будет работать примерно так же, как DNS. «Вы обновляете MTA, публикуете соответствующую запись в DNS-системе и, как минимум, обеспечиваете всем своим пользователям сквозное шифрование с сервером в качестве крайней точки, – пояснил Левисон представителю Ars Technica по телефону. – Со временем пользователи произведут апгрейд своего ПО, и вы сможете обеспечить шифрование вплоть до уровня ПК». В том случае, если мейл-агент пользователя (MUA) не поддерживает DIME, спецификации предусматривают серверную генерацию нужных ключей и шифрование сообщения, но процесс этот должен быть прозрачным для пользователя. Допускается также использование дополнительных шифров по выбору администратора; использование базового набора, гарантирующего минимальный уровень безопасности, при этом обязательно (для защиты на уровне сети DIME использует TLS-ECDHE). По оценке авторов, степень безопасности предложенной ими системы, как и прочих подобных, зависит от самого слабого звена – конечного пользователя, то есть от надежности его пароля и применяемых средств защиты. Левисон планирует представить спецификации DIME на очередном заседании IETF, которое состоится в конце марта в Далласе, штат Техас. Источник: Ars Technica Microsoft фиксирует рост использующих макросы угроз В минувшем месяце Microsoft отметила активизацию спам-рассылок, нацеленных на распространение вредоносного ПО через макросы – программы, написанные на языке Visual Basic для приложений (VBA) и используемые для автоматизации типовых задач в Office. Согласно статистике компании, до 4 декабря число таких угроз было минимальным и постоянным, однако в середине месяца этот показатель резко повысился. На пике защитные решения Microsoft совокупно показали около 8 тыс. VBA-детектов. По умолчанию макросы в Office отключены, и злоумышленникам приходится использовать элементы социальной инженерии, чтобы заставить пользователя включить эту функцию. Их спам-письма обычно имитируют сообщение финансового характера и снабжены вредоносным вложением в формате какого-либо документа Microsoft Office. Если приманка сработает и пользователь активирует макрос, пытаясь ознакомиться со «счетом» или «заказом», на его компьютер загрузится зловред. «При открытии файла Microsoft Office (в данном случае документа Word) пользователю отображается сообщение, предлагающее включить макрос, – пишут исследователи в блоге. – По умолчанию для макросов в Microsoft Office установлен параметр «Disable all macros with notification» («Отключить все макросы с уведомлением»). Запуск вредоносного кода в этом случае возможен лишь при включении макроса вручную». На настоящий момент эксперты обнаружили две вредоносные программы, распространяемые в рамках текущей спам-кампании, – TrojanDownloader:W97/Adnel и TrojanDownloader:O97M/Tarbir. Чаще прочих Adnel и Tarbir атакуют британцев и жителей США (более и менее 10 тыс. детектов соответственно), но в небольших количествах замечены также во Франции, Японии, Австралии, Индии, ЮАР, Канаде и Германии. Источник: Threatpost Spamhaus подытожила блоклисты по ботнетам В минувшем году некоммерческая организация Spamhaus занесла в черные списки 7182 уникальные IP-адреса, используемые для управления ботнетами. Это на 525 единиц больше, чем предыдущий годовой показатель. Зафиксированные активистами контроллеры были размещены в 1183 разных сетях. Около 48% обнаруженных IP (3425) попали в блоклист BCL (Botnet Controller List), так как, по данным Spamhaus, использовались исключительно для размещения C&C ботнетов. По словам активистов, распространяемые в виде BCL адреса можно смело блокировать без ущерба для легального трафика. Остальные занесенные в базу Spamhaus контроллеры хостились на скомпрометированных веб-серверах, поэтому оказались в другом черном списке, SBL, сигнализирующем о возможной вредоносной активности. Наибольшее количество C&C-серверов, как и следовало ожидать, было найдено в сетях крупных интернет-провайдеров: французского OVH (189 IP), германского Hetzner (124), голландского LeaseWeb (120) и российского REG.RU (111). В десятку лидеров по этому показателю попали также российские хостеры ISPserver и Infobox, голландский Ecatel и германский intergenia. Высокая концентрация C&C ботнетов в сетях мелких, мало известных провайдеров обычно свидетельствует о нехватке ресурсов для адекватного контроля и борьбы с злоупотреблениями. Нередки также случаи, когда датацентр интернет-провайдера размещен в стране со слабой законодательной базой или с отсутствием правоприменительной практики в отношении киберпреступлений. Большинство различаемых Spamhaus ботнетов построены на основе банковских троянцев, в первую очередь ZeuS и его производных. Так, из обнаруженных в прошлом году C&C-серверов 2246 пришлось на долю ZeuS, 1127 – на Citadel. Третье место в этом рейтинге занял спамбот Asprox (566). Кроме IP-адресов, связанных с вредоносной активностью, Spamhaus фиксирует также домены, используемые злоумышленниками. В минувшем году активисты занесли в черный список DBL (Domain Block List) 3793 домена, официально зарегистрированные ботоводами. Наибольшее количество таких целевых регистраций (без учета бесплатных служб поддоменов) было выявлено в TLD-зонах .com (1542 C&C доменов) и .ru (855), несколько меньше – в .net и .su (313 и 283 соответственно). При этом злоумышленники явно отдавали предпочтение российским регистраторам R01 (465 доменных имен), RU-CENTER (386) и REG-RU (348), а также китайским Todaynic.com (378) и Bizcn.com (328). Как и в случае с интернет-провайдерами, в данный анти-рейтинг вошли, в основном, крупные компании, многие из которых быстро отслеживают злоупотребления и приостанавливают обслуживание доменов, ассоциированных с противозаконной деятельностью. Источник: Spamhaus Банкер Emotet атакует немцев и австрийцев С ноября Microsoft наблюдает поток вредоносного спама, нацеленного на засев нового варианта банковского троянца Emotet. Поддельные счета за мобильную связь и сообщения от банков или PayPal написаны на немецком языке и снабжены ссылкой на зараженный ресурс. Защитные решения компании детектируют опасного новобранца как Trojan:Win32/Emotet.C. В минувшем месяце на долю Германии пришлось 44,33% таких детектов (около 43 тыс.), на Авcтрию – 11,64%. При переходе по указанной спамерами ссылке на машину жертвы загружается zip-архив, содержащий исполняемый файл. Для маскировки злоумышленники присваивают вредоносным файлам длинные имена с большим количеством цифр и снабжают их иконкой pdf-документа. По свидетельству экспертов, фильтровать такие сообщения непросто, так как они распространяются с взломанных легальных аккаунтов. Представители семейства Emotet умеют воровать и отсылать на свой сервер ключи к учетным записям своих жертв, сохраненные в популярных приложениях, таких как Eudora, Gmail Notifier, Google Talk, Mozilla Thunderbird, MSN/Windows Live Messenger, Outlook 2000/2002/ Express, Windows Live Mail, Yahoo! Messenger и т.п. Краденые данные такого рода впоследствии используются для рассылки спама с помощью специализированного модуля Emotet. Этот спам-компонент способен регистрироваться на почтовых сервисах, используя чужие логин и пароль. Однако основной функцией Emotet является кража идентификаторов в онлайн-счетам. При запуске он мониторит сетевую активность жертвы и фиксирует заходы на сайты финансовых организаций. В список мишеней, которым оперирует Emotet.C, входят, в основном, банки Германии и Австрии, а также телеоператоры, осуществляющие свою деятельность на территории этих стран. Источник: TechNet Новогодний спам от «российских невест» С начала нового года Trend Micro фиксирует необычно большой поток спама с предложением завязать знакомство. Так, 4 января на ловушках компании осело более 150 тыс. экземпляров таких писем; исследователи признают, что давно не наблюдали столь высокий суточный улов приманок для любителей знакомиться в Сети. По свидетельству Trend Micro, все эти спам-предложения снабжены ссылками на разные сайты знакомств, прописанные в Рунете. Примечательно, что распространяются эти письма, против обыкновения, с IP-адресов, никогда не светившихся в спам-рассылках. По всем признакам, это адреса из блоков /23 или /24, не ассоциированные с доменным именем. Задействованные в текущей спам-рассылке IP расположены в разных странах и регионах. Например, в тот же пиковый день, 4 января, исследователи насчитали свыше 50 тыс. таких источников, довольно равномерно распределенных по карте мира. При этом вклад каждой страны в общий спам-поток предложений знакомства выражался однозначным числом; единственное исключение составил Иран, на территории которого было обнаружено 11,37% источников мусорных сообщений. В Тор 5 по этому показателю вошли также Испания, Вьетнам, Аргентина и Германия. Как оказалось, ссылки в сообщениях спамеров привязаны к российским сайтам не напрямую, а через серию постингов, оставленных на разных досках объявлений, – по всей видимости, ботами. Эти публикации повторяют приманки, рассылаемые в спам-письмах, но в более развернутом виде. Совокупно эксперты насчитали более 700 сайтов, задействованных спамерами в качестве посредников. В основном, это форумы, использующие популярное открытое ПО phpBB или Discuz!. Trend Micro отмечает, что такие ресурсы редко попадают в черные списки, поэтому могут служить дополнительным средством маскировки для спамеров, старающихся пробить системы фильтрации. Источник: Trend Micro Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2013