I più attenti si saranno forse accorti di una variazione significativa nel comportamento di parecchio spam; in particolare di quello legato a Canadian Pharmacy, emesso sostanzialmente tutto da botnet.
Se fino ad alcuni mesi fa, infatti, questo spam linkava il sito dove lo spammer vendeva poi le pilloline, oggi come oggi questo non è più vero nella gran parte dei casi.
Ad essere linkata è invece una qualche pagina “plain-HTML” dal nome composito (tipo ${word}${number}.html), depositata su un sito non inerente le attività di vendita di pillole e anzi sovente del tutto innocuo. La pagina in questione è stata preventivamente uploadata sul sito attraverso una sessione FTP abusiva, disponibile allo spammer grazie al fatto che il client del webmaster è stato infettato da un qualche trojan che solertemente ha prelevato/sniffato/keyloggato le credenziali di accesso allo spazio FTP e le ha comunicate allo spammer.
In tal modo, lo spam inviato non contiene un link diretto ad una risorsa dello spammer che -se già nota- fornirebbe un appiglio ai software di filtraggio.
Di tutto questo ho già parlato in passato.
Attorno al mese di Marzo, piuttosto, ho iniziato a mettere in piedi una infrastruttura pensata per monitorare questi siti crackati, in modo da individuarli e listarli (nella mia infrastruttura di filtraggio) non appena vengono utilizzati dallo spammer per raggiungere uno degli indirizzi monitorati.
Ovviamente, con l’obiettivo di ridurre la finestra tra il momento in cui lo spammer usa una nuova risorsa e il momento in cui i miei sistemi sono in grado di individuare questa risorsa come tale. Il risultato è entrato in funzione attorno al 10 Aprile, e -con qualche aggiustamento in corsa- sta girando in autopilot da allora, risparmiandomi un sacco di lavoro manuale.
Non scenderò in dettaglio riguardo a come questa infrastruttura funzioni, ma ritengo interessante condividere qualche dato prettamente numerico sul fenomeno, che appare avere un trend decisamente crescente.
Qui riporto un grafico che rappresenta il numero di host compromessi individuati giornalmente. Appare piuttosto evidente come il fenomeno sia in effettiva crescita, ma si nota anche come l’uso di queste nuove risorse avvenga sostanzialmente “ad ondate” della durata di qualche giorno.
Vale la pena di confrontare questo andamento con l’uso di link puntanti a crack (siano essi “nuovi” o no) nel corso di un analogo periodo. Purtroppo, per via delle variazioni subite dal mio script prima di raggiungere la completa maturità, posso fornire solamente una analisi relativa agli ultimi 2 mesi circa, prima dei quali i dati sono inconsistenti a causa di una diversa logica interna. Li propongo comunque sulla stessa scala temporale.
E’ possibile notare una certa correlazione, ma è anche evidente come i picchi relativi a nuovi crack non corrispondano ai picchi di emissione di spam linkante pagine crackate.
Qualsiasi cosa ciò significhi 🙂
Quel che in realtà sarebbe più interessante sapere è quanto è “ampio” il bacino di siti già crackati ma non ancora spamvertized. O, meglio ancora, di credenziali compromesse ma non ancora sfruttate.
Forse intercettando e archiviando le date relative all’header Last-Modified potrei ricavare la data in cui la pagina (quand’anche linkata in spam solamente al momento in cui il sistema la rileva) è stata effettivamente creata sul server, ma non ho fatto alcun tentativo in tal senso.
Sarà in caso oggetto di un aggiornamento su queste pagine ma, volendo fare una ipotesi a braccio, non mi aspetto di trovare pagine spamvertized per la prima volta ma depositate sul server da più di un paio di giorni.
Vediamo se mi riesce di smentirmi da solo (di nuovo)… 😛
Skull's blog 