Spam en botnets

www.rolfherssens.tk

(n) Rolf Herssens 2007

 

In de laatste nieuwsbrief op mijn Fastmail.FM account (www.fastmail.fm) stond een interessante link naar www.extremetech.com in verband met spam die afkomstig is van een Russisch botnet.

Hier vindt u het originele artikel : http://www.extremetech.com/article2/0,1697,2060277,00.asp

Hieronder probeer ik een verstaanbare vertaling en uitleg te geven over dit artikel en dieper in te gaan op enkele aspecten.

 

'Pump-and-Dump' Spam Surge Linked to Russian Bot Herders

 

Deze titel verdient al een hele uitleg op zich :

-         Pump and Dump : soort financiële fraude die bestaat uit het “opdrijven van de prijs van een aandeel of iets gelijkaardigs” door “promotie” , met het doel om te verkopen aan deze verhoogde (opgeblazen) prijs.

-         Spam Surge : spamvloed, overweldigd worden door spam.

-         Bot Herders : beheerders van een botnet.

-         Botnet : netwerk van door een “bot” besmette, met breedband internet verbonden, computers.

-         Bot : soort trojan die van op afstand instructies kan ontvangen (bijvoorbeeld via IRC) en uitvoeren (bijvoorbeeld spam verzenden, een DOS-attack uitvoeren …)

-        

 

 

De recente stortvloed van (e-mail)spam om goedkope aandelen en penisvergrotende pillen te promoten is het kunst- en vliegwerk van Russische hackers, die een botnet draaiend houden van tienduizenden gekaapte computers. Beveiligingsonderzoekers en politiediensten hebben de spam-tsunami kunnen traceren als afkomstig van een goed georganiseerde hackersbende die een in een peer-to-peer botnet een 70000-tal met de Spam-Thru Trojan besmette computers controleert.

 

Deze bende (en die Trojan) functioneren ongehoord gesofisticeerd. Om te beginnen komt de Trojan aandraven met een eigen antivirusscanner, een piraatversie van Kaspersky. Deze verwijdert concurrerende malware van het systeem. Eens een Windows-pc besmet is, wordt hij lid van een p2p netwerk gecontroleerd door een centrale server. Als deze server plat gelegd wordt door botnet-jagers, hoeft de spammer maar één enkel lid van het botnetwerk te kunnen besturen om ze allemaal weer in het gareel te krijgen en de locatie van een nieuwe server door te sturen …

 

De bots worden (…) onderverdeeld in subgroepen van maximaal 512 leden, om de belasting door het doorgeven van informatie aan elkaar beperkt te houden.

De server houdt statistieken bij over het land van herkomst van de bots, en zelfs de Windows versie. Windows XP SP2 staat bovenaan de lijst, valt duidelijk ten prooi aan aanvallen.

 

Op zo’n controleserver werden ook database hacking programma’s gevonden, wat erop wijst dat de spammers hun doelpubliek (in het geval van goedkope-aandelen-spam) vooraf bepaalden en hun troep vooral verzonden naar slachtoffers die betrokken zijn bij aandelenhandel. Ze breken in bij websites die bij aandelenhandel betrokken zijn en stelen de emailadressen uit de database.

 

De spammer krijgt ook toegang tot lijsten met miljoenen emailadressen die “geoogst” werden van de harde schijven van de geïnfecteerde computers van in het botnet. Dit geeft hem de mogelijkheid om mensen te bereiken (of bestoken) die hun emailadres nooit bekend gemaakt hebben.

 

Zelfs de spamberichten zelf zijn buitengewoon gesofisticeerd : ze bestaan uit tekst en tekeningen of foto’s, en er is veel moeite gedaan om spamfilters te omzeilen.

-         Elke SpamThru client (dus elk lid van dat botnet) heeft zijn eigen spam”generator”. Deze haalt een sjabloon op, dat de spam zelf bevat, + een hoop willekeurige tekst, + een aantal willekeurige namen van afzenders, + enkele honderden “bestemmelingen”.

-         De figuren/foto’s veranderen van afmetingen bij elke verzonden e-mail, om het een spamfilter die bekende spam-figuren tegenhoudt moeilijk te maken. Ook bevatten de figuren willekeurige pixels onderaan, met hetzelfde doel.

-         Alle 73000 bots zijn ook in staat om een lijst van proxyservers te gebruiken die ze van de centrale server krijgen. Dit om blacklisting van hun eigen IP-adresje te voorkomen. Dit maakt het gehele p2p netwerk tot een enorme “decentrale spamgenerator” zonder het bijhorende kostenplaatje ! Alle rekenkracht en elektriciteit is immers voor rekening van de eigenaars van de gekaapte pc’s.

 

Met een botnet van zulke afmetingen is het in theorie mogelijk om een miljard (1 000 000 000) spamberichten per DAG te verzenden. Dit veronderstelt één bestemmeling per e-mail, maar meestal staan er verschillende geadresseerden per spambericht, dus kan het totale aantal spamberichten nog véél hoger liggen. (met 7 bestemmelingen per bericht kan je dus heel de wereldbevolking een spammetje zenden in één dag tijd ;-)

 

Meer is te vinden op bovenstaande link (in het Engels).

 

Rolf