Spesso capita di ritrovare, nell’analisi dei flussi di spam, delle discontinuità nette rispetto ai “comportamenti usuali”, soprattutto per quanto concerne l’attività delle botnet. Le ragioni sono -o possono essere- molteplici. Ad esempio, un qualche spammer può iniziare a condurre dei test particolarmente massicci, oppure una determinata gang inizia ad utilizzare pesantemente una botnet “nuova fiammante”.
In questi ultimi giorni, per quanto è possibile vedere, è accaduto qualcosa del genere.
Aumento spam
A metà mattina di giovedì 6 novembre, il traffico generato da spam è praticamente raddoppiato rispetto a quanto si rilevava nei giorni precedenti, come visibile nel grafico qui accanto.
Una veloce analisi dei log porta ad avvistare, come anomalia rispetto al traffico normale, una gran quantità di “relay not allowed”. Di norma, queste entry nei log sono presenti in numero piuttosto ridotto, e sono riconducibili a spammer che effettuino probe dei nostri relay per verificarne la sfruttabilità come relay aperti.
Una analisi più accurata porta a notare che tali tentativi di relay, oltre ad essere anomali nella quantità, hanno anche delle peculiarità nella qualità: la maggior parte sono invii diretti a domini che, se pur non ospitati (nè ora nè in passato) dai nostri sistemi, sono comunque “geograficamente vicini“.
Difficile sapere la ragione di un simile comportamento (almeno senza essere nella testa dello spammer), ma una mia ipotesi è che alcuni degli invii o dei bot sbaglino nell’identificare i mailserver cui consegnare lo spam, a seguito forse di una fase di testing di nuovo codice o di nuovi sistemi/infrastrutture da parte della botnet.
Spettro dei rigetti
La finestra temporale in cui questo comportamento si è riscontrato si è poi chiusa a metà mattinata di oggi, martedì 11 novembre. Oltre che nella quantità, il fenomeno trascorso è piuttosto evidente “a colpo d’occhio” esaminando lo spettro di distribuzione con cui il ruleset ha trattato questo spam: in particolare, l’aumento molto sostanzioso nei blocchi causati da PBL è un indice del fatto che gran parte di questi tentativi di delivery proviene da sistemi che ancora non sono stati identificati da liste con questo scopo, come CBL (e, di conseguenza, XBL).
Skull's blog 