Discussion:
Spam da account email violati
(too old to reply)
Alessio Cecchi
2014-06-20 15:07:49 UTC
Permalink
Ciao,

negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'è stato un notevole incremento dell'invio di spam (o
almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da
parte di account email con password troppo semplici o "rubate" ad opera
di malware/virus (immagino) presenti cui PC degli utenti.

Addirittura abbiano notato l'accesso al servizio SMTP autenticato a
caselle email che non eseguivano login da molto tempo (e con password
non banali), segno che tali furti delle credenziali erano stati compiuti
molto tempo a dietro ma che solo ora sono entrati in azione.

L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre
da IP di Asiatici/Est Europei ma in qualche caso ho notato anche accessi
da IP "nostrani".

In questi casi il nostro sistema blocca l'accesso al servizio SMTP-Auth
ma gli utenti (esclusivamente aziendali) non sembrano essere preoccupati
dal fatto che qualcuno abbia le credenziali per accedere alla loro
casella email (o magari nemmeno lo comprendono).

Avete notato anche voi fenomeni di questo genere?

L'impressione mia è che qualcuno raccolga queste password mediante
"virus", poi le venda a qualcuno che quando ne ha un buon numero o
riceve una "commessa" lancia l'invio di spam.

Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"?

Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
DROP) per limitare le connessioni da questi IP, a protezione di un SMTP
autenticato?

Grazie

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Marco d'Itri
2014-06-20 15:44:35 UTC
Permalink
Post by Alessio Cecchi
negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'è stato un notevole incremento dell'invio di spam (o almeno
il tentativo di, per adesso infatti riusciamo a bloccarlo) da parte di
account email con password troppo semplici o "rubate" ad opera di
malware/virus (immagino) presenti cui PC degli utenti.
Direi piuttosto negli ultimi 5-6 anni. Ieri sera è partita una nuova
campagna molto aggressiva, ma eventi simili sono frequenti.
Post by Alessio Cecchi
Addirittura abbiano notato l'accesso al servizio SMTP autenticato a caselle
email che non eseguivano login da molto tempo (e con password non banali),
Sei sicuro che non abbiano usato le credenziali con POP/IMAP?
Post by Alessio Cecchi
L'impressione mia è che qualcuno raccolga queste password mediante "virus",
poi le venda a qualcuno che quando ne ha un buon numero o riceve una
"commessa" lancia l'invio di spam.
Esatto.
Post by Alessio Cecchi
Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus DROP)
per limitare le connessioni da questi IP, a protezione di un SMTP
autenticato?
No, sono anche quelli droni e non è possibile bloccarli a priori.
--
ciao,
Marco
Andrea Dinale
2014-06-20 15:47:12 UTC
Permalink
Post by Alessio Cecchi
negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'è stato un notevole incremento dell'invio di spam (o
almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da
parte di account email con password troppo semplici o "rubate" ad opera
di malware/virus (immagino) presenti cui PC degli utenti.
Anche noi abbiamo la sensazione che sia un trend in crescita, cominciato
in massa qualche mese fa
Post by Alessio Cecchi
Addirittura abbiano notato l'accesso al servizio SMTP autenticato a
caselle email che non eseguivano login da molto tempo (e con password
non banali), segno che tali furti delle credenziali erano stati compiuti
molto tempo a dietro ma che solo ora sono entrati in azione.
confermo, casi analoghi stessa sensazione
Post by Alessio Cecchi
L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre
da IP di Asiatici/Est Europei ma in qualche caso ho notato anche accessi
da IP "nostrani".
prevalentemente cina, resto un po' di tutto
Post by Alessio Cecchi
L'impressione mia è che qualcuno raccolga queste password mediante
"virus", poi le venda a qualcuno che quando ne ha un buon numero o
riceve una "commessa" lancia l'invio di spam.
anch'io l'ho pensato, ma nulla di concreto, solo supposizione
Post by Alessio Cecchi
Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
DROP) per limitare le connessioni da questi IP, a protezione di un SMTP
autenticato?
bella domanda, non so. Tutto dipende da dove/come si originano le
connessioni, se si tratta di connessioni consumer "infette"
probabilmente hanno ip dinamico e non si fa nulla


Ciao
A

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Emanuele Balla
2014-06-20 16:01:26 UTC
Permalink
Post by Alessio Cecchi
Ciao,
negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'è stato un notevole incremento dell'invio di spam (o
almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da
parte di account email con password troppo semplici o "rubate" ad opera
di malware/virus (immagino) presenti cui PC degli utenti.
Addirittura abbiano notato l'accesso al servizio SMTP autenticato a
caselle email che non eseguivano login da molto tempo (e con password
non banali), segno che tali furti delle credenziali erano stati compiuti
molto tempo a dietro ma che solo ora sono entrati in azione.
L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre
da IP di Asiatici/Est Europei ma in qualche caso ho notato anche accessi
da IP "nostrani".
In questi casi il nostro sistema blocca l'accesso al servizio SMTP-Auth
ma gli utenti (esclusivamente aziendali) non sembrano essere preoccupati
dal fatto che qualcuno abbia le credenziali per accedere alla loro
casella email (o magari nemmeno lo comprendono).
Comincia con il dirgli che quella roba tipicamente gli può svuotare il
conto in banca, magari cambiano idea: tra i più solerti a prelevare
quelle credenziali ci son le varie varianti di Zeus....
Post by Alessio Cecchi
Avete notato anche voi fenomeni di questo genere?
L'impressione mia è che qualcuno raccolga queste password mediante
"virus", poi le venda a qualcuno che quando ne ha un buon numero o
riceve una "commessa" lancia l'invio di spam.
Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"?
Cutwail, nel 99.9% dei casi. Di questi giorni perlopiù "droppato" da
Zeus, appunto.
Post by Alessio Cecchi
Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
DROP) per limitare le connessioni da questi IP, a protezione di un SMTP
autenticato?
No. Almeno, non DROP, dato che quelli che vedi non sono IP su reti di
per sè rogue (che è quanto sta in DROP) ma singole macchine trojanizzate.

La DNSBL più adeguata sarebbe quindi XBL. Tuttavia, XBL contiene diversi
tipi di bot, alcuni dei quali nemmeno inviano mail (tipo Conficker), e
in particolare in presenza di client su Ip dinamici il rate di FP
sarebbe abbastanza altino.

Se sei utente pagante di Spamhaus prova a chiedere a loro; mi pare di
rammentare che esista una "versione speciale" di XBL realizzata a qusto
scopo, contenente il solo subset di IP noti pr ospitare bot che eseguono
SMTP-AUTH, e che dovrebbe essere pensata proprio per questa tipologia di
traffico.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Alberto Guglielmo
2014-06-20 16:02:50 UTC
Permalink
Post by Alessio Cecchi
Ciao,
negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'è stato un notevole incremento dell'invio di spam (o
almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da
parte di account email con password troppo semplici o "rubate" ad
opera di malware/virus (immagino) presenti cui PC degli utenti.
Addirittura abbiano notato l'accesso al servizio SMTP autenticato a
caselle email che non eseguivano login da molto tempo (e con password
non banali), segno che tali furti delle credenziali erano stati
compiuti molto tempo a dietro ma che solo ora sono entrati in azione.
L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre
da IP di Asiatici/Est Europei ma in qualche caso ho notato anche
accessi da IP "nostrani".
In questi casi il nostro sistema blocca l'accesso al servizio
SMTP-Auth ma gli utenti (esclusivamente aziendali) non sembrano essere
preoccupati dal fatto che qualcuno abbia le credenziali per accedere
alla loro casella email (o magari nemmeno lo comprendono).
Avete notato anche voi fenomeni di questo genere?
L'impressione mia è che qualcuno raccolga queste password mediante
"virus", poi le venda a qualcuno che quando ne ha un buon numero o
riceve una "commessa" lancia l'invio di spam.
Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"?
Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
DROP) per limitare le connessioni da questi IP, a protezione di un
SMTP autenticato?
Grazie
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Giusto una settimana o due fa e' capitato con un account su un mio
server... quasi certamente malware che ha "sgamato" le credenziali di
un cliente e le ha usate per autenticarsi (SASL) ed inviare email. Io ho
qualche DNSBL in atto ma non avrebbero potuto, ed in effetti non l'hanno
fatto, fermare lo scherzetto...
Sigh...
Saluti
--
Everything should be made as simple as possible, but not simpler.
Albert Einstein

Alberto Guglielmo
a.guglielmo<at>tcpsas.com
Key Fingerprint:7EAF 9E34 2838 7C6B EE47 E8F0 FFC5 3CBC 90AA 5EEE
Key ID: 0x90AA5EEE
GPG/PGP keys at: pgpkeys.mit.edu

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Walter Russo
2014-06-20 17:07:30 UTC
Permalink
Ciao a tutti,

confermo questo andamento ormai diffuso da tempo e in questo periodo
ancora più frequente.

Proprio per questo al momento utilizzo sistemi che gestiscono il rate
limiting e generano alert su specifiche soglie per singolo account o
dominio oltre a controllare il traffico email generato da ip/utenti
autenticati in uscita.

Bisogna anche adottare politiche di cambio password anche sui mail
server.....anche se gli utenti si lamentano sempre di questo.

Cybersaluti

Walter
Post by Alberto Guglielmo
Post by Alessio Cecchi
Ciao,
negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'Ú stato un notevole incremento dell'invio di spam (o
almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da
parte di account email con password troppo semplici o "rubate" ad
opera di malware/virus (immagino) presenti cui PC degli utenti.
Addirittura abbiano notato l'accesso al servizio SMTP autenticato a
caselle email che non eseguivano login da molto tempo (e con password
non banali), segno che tali furti delle credenziali erano stati
compiuti molto tempo a dietro ma che solo ora sono entrati in azione.
L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre
da IP di Asiatici/Est Europei ma in qualche caso ho notato anche
accessi da IP "nostrani".
In questi casi il nostro sistema blocca l'accesso al servizio
SMTP-Auth ma gli utenti (esclusivamente aziendali) non sembrano essere
preoccupati dal fatto che qualcuno abbia le credenziali per accedere
alla loro casella email (o magari nemmeno lo comprendono).
Avete notato anche voi fenomeni di questo genere?
L'impressione mia Ú che qualcuno raccolga queste password mediante
"virus", poi le venda a qualcuno che quando ne ha un buon numero o
riceve una "commessa" lancia l'invio di spam.
Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"?
Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
DROP) per limitare le connessioni da questi IP, a protezione di un
SMTP autenticato?
Grazie
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Giusto una settimana o due fa e' capitato con un account su un mio
server... quasi certamente malware che ha "sgamato" le credenziali di
un cliente e le ha usate per autenticarsi (SASL) ed inviare email. Io ho
qualche DNSBL in atto ma non avrebbero potuto, ed in effetti non l'hanno
fatto, fermare lo scherzetto...
Sigh...
Saluti
Pasquale Mari
2014-06-23 19:42:37 UTC
Permalink
Post by Walter Russo
Ciao a tutti,
confermo questo andamento ormai diffuso da tempo e in questo periodo
ancora più frequente.
Idem, maggiormente IP provenienti dall'oriente...con furore.
Post by Walter Russo
Proprio per questo al momento utilizzo sistemi che gestiscono il rate
limiting e generano alert su specifiche soglie per singolo account o
dominio oltre a controllare il traffico email generato da ip/utenti
autenticati in uscita. Bisogna anche adottare politiche di cambio
password anche sui mail server.....anche se gli utenti si lamentano
sempre di questo.
Idem con patate, per ora mi sembra la soluzione più semplice da attuare
anche perché il cambio password, come già constatato, per gli utenti
è come uno sfratto di casa.

saluti.

P.M.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Marco Bettini
2014-06-24 06:55:17 UTC
Permalink
Pasquale... la frase *"*il cambio password, come già constatato, per gli
utenti *Ú come uno sfratto di casa." *Ú molto peggio anche perché spesso
richiedono che le regole di scelta password si pieghino alle loro necessità
di scarsa memoria e pigrizia, naturalmente non ignorando il fatto che se le
password non sono intellegibili con significati schietti come nomi di
parenti stretti o date di nascita ( difficile un incrocio tra le due cose )
vengono scritte ovunque in ufficio.

Nel tempo ho avuto molto aiuto dall'uso di Fail2Ban che analizza in
realtime i files di log dei servizi e banna da firewall per 24 ore gli ip
delle macchine che fanno troppi errori consecutivi di autenticazione,
rischioso in caso di errori sistematici in buona fede ma molto funzionale
per quanto riguarda la difesa dalla debolezza delle passwords.

Marco
Post by Pasquale Mari
Post by Walter Russo
Ciao a tutti,
confermo questo andamento ormai diffuso da tempo e in questo periodo
ancora più frequente.
Idem, maggiormente IP provenienti dall'oriente...con furore.
Proprio per questo al momento utilizzo sistemi che gestiscono il rate
Post by Walter Russo
limiting e generano alert su specifiche soglie per singolo account o
dominio oltre a controllare il traffico email generato da ip/utenti
autenticati in uscita. Bisogna anche adottare politiche di cambio password
anche sui mail server.....anche se gli utenti si lamentano sempre di questo.
Idem con patate, per ora mi sembra la soluzione più semplice da attuare
anche perché il cambio password, come già constatato, per gli utenti
Ú come uno sfratto di casa.
saluti.
P.M.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
--
Marco Bettini Soluzioni Informatiche
via Emilia Levante 144/4
40139 Bologna
P.I. 02379501204
C.F. BTTMRC74T11L117Q
N.tel : +39-05119907013
N.cell.: +39-3663269252
Messagenet: +39-07441906072
Fax: +39-0510544722
Google+: google.com/+MarcoBettini <https://www.google.com/+MarcoBettini>
L <http://www.si2.it/>inkedIn: http://www.linkedin.com/in/bettinim
Solo il 10% di UNIX e' in codice assembly il resto e' C!!
Only about 10 % of UNIX is assembly code the rest is C!!
Gli antichi credevano che al di là delle Colonne d'Ercole ci fosse Chuck
Norris.
The ancients believed that beyond the Pillars of Hercules there was Chuck
Norris
Il contenuto di questa e-mail Ú strettamente personale ai sensi della legge
196/03. Ogni abuso potrà essere perseguito legalmente.
Maurizio Marini
2014-06-24 09:10:34 UTC
Permalink
On Tue, 24 Jun 2014 08:55:17 +0200
Marco Bettini <***@gmail.com> wrote:

Io uso cluebringer e conto gli invii dallo stesso account sasl da ip diversi da
meno di 600 secondi: se uno mi spedisce da piu' di 4 ip diversi negli ultimi 10
minuti cambio immediatamente la password

echo "select distinct SASLUsername, ClientAddress from session_tracking where
( (UNIX_TIMESTAMP( now( ) ) - Timestamp) < 600);"| mysql -pxxxxxx policyd |
sort| awk '{ print $1 }' | uniq -c | awk '{ if( $1 >4 ) print $2 " ha spedito
negli ultimi 10 minuti da: " $1 " ip diversi " }'

poi ovviamente ho le strozzature per mail orarie etc etc

-m
Marco d'Itri
2014-06-24 09:18:10 UTC
Permalink
Post by Marco Bettini
Nel tempo ho avuto molto aiuto dall'uso di Fail2Ban che analizza in
Non è rilevante in questo contesto: le password vengono rubate, non
indovinate.
--
ciao,
Marco
Andrea Dainese
2014-06-21 20:34:05 UTC
Permalink
Post by Alessio Cecchi
Ciao,
negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'è stato un notevole incremento dell'invio di spam (o almeno
il tentativo di, per adesso infatti riusciamo a bloccarlo) da parte di
account email con password troppo semplici o "rubate" ad opera di
malware/virus (immagino) presenti cui PC degli utenti.
[...]

Nell'ultimo periodo ho ricevuto email di spam da tutti i conoscenti
che avevano un account @libero.it. Tutti gli account erano stati
violati. Alcuni avevano password banali, altri meno, tuttavia alcuni
non usavano quell'account da mesi.
Libero sostiene che i suoi server non sono stati violati
(http://www.hwupgrade.it/news/sicurezza-software/liberoit-la-posizione-ufficiale-sul-problema-dello-spam-email_52529.html),
a me qualche dubbio è rimasto, sopratutto perché sono stati violati in
un intervallo piuttosto breve.

Andrea
--
In loving service to Sai.

To respect the cat is the beginning of the aesthetic sense. - Erasmus Darwin
Do your work, then step back. The only path to serenity. - Lao Tzu

http://www.routereflector.com/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Andrea Zwirner
2014-06-23 13:36:45 UTC
Permalink
Buongiorno,

sabato scorso ho tenuto un seminario sullo sviluppo di software sicuro e
dal pubblico Ú arrivata una domanda relativa le possibili modalità di
mitigazione di questo tipo di attacchi.

Stavo già cominciando a sudare, quando, sempre dal pubblico, Ú arrivata
anche una bellissima risposta: la proposta Ú quella di "profilare" gli
utenti di posta, registrando le loro abitudini di utilizzo del servizio,
fra cui ip sorgenti (che ho notato che anche da connessioni mobili
cambiano molto di rado), orari di connessione, volume di traffico
effettuato, etc. Con questi dati in pancia, arricchire quindi il sistema
di posta con un'"intelligenza" in grado decidere se garantire o negare
il permesso di invio di posta elettronica.

Che ne pensate?

Ora come ora io non saprei da che parte girarmi, ne per quanto riguarda
gli strumenti da utilizzare, ne tantomeno per come integrarli per
arrivare all'obiettivo, ma se qualcuno avesse interesse
nell'approfondire la questione, magari per produrre qualcosa id open
come PoC per ambienti basati su due prodotti di uso comune (e.g.
postfix+dovecot), io sono a disposizione per prendere parte al progetto.

Una buona giornata,

Andrea Zwirner
Post by Alessio Cecchi
Ciao,
negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'Ú stato un notevole incremento dell'invio di spam (o
almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da
parte di account email con password troppo semplici o "rubate" ad
opera di malware/virus (immagino) presenti cui PC degli utenti.
Addirittura abbiano notato l'accesso al servizio SMTP autenticato a
caselle email che non eseguivano login da molto tempo (e con password
non banali), segno che tali furti delle credenziali erano stati
compiuti molto tempo a dietro ma che solo ora sono entrati in azione.
L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre
da IP di Asiatici/Est Europei ma in qualche caso ho notato anche
accessi da IP "nostrani".
In questi casi il nostro sistema blocca l'accesso al servizio
SMTP-Auth ma gli utenti (esclusivamente aziendali) non sembrano essere
preoccupati dal fatto che qualcuno abbia le credenziali per accedere
alla loro casella email (o magari nemmeno lo comprendono).
Avete notato anche voi fenomeni di questo genere?
L'impressione mia Ú che qualcuno raccolga queste password mediante
"virus", poi le venda a qualcuno che quando ne ha un buon numero o
riceve una "commessa" lancia l'invio di spam.
Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"?
Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
DROP) per limitare le connessioni da questi IP, a protezione di un
SMTP autenticato?
Grazie
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
*Andrea Zwirner*
*email*: ***@linkspirit.org
*mobile*: +39 366 1872016

Linkspirit Via Luigi Moretti 2 - 33100 Udine UD
*tel:* +39 0432 1845030 - *fax:* +39 0432 309903
*web:* www.linkspirit.it - *email:* ***@linkspirit.it


Logo Please consider your environmental responsibility before printing
this email.
Emanuele Balla
2014-06-23 18:04:56 UTC
Permalink
Post by Andrea Zwirner
Buongiorno,
sabato scorso ho tenuto un seminario sullo sviluppo di software sicuro e
dal pubblico è arrivata una domanda relativa le possibili modalità di
mitigazione di questo tipo di attacchi.
Stavo già cominciando a sudare, quando, sempre dal pubblico, è arrivata
anche una bellissima risposta: la proposta è quella di "profilare" gli
utenti di posta, registrando le loro abitudini di utilizzo del servizio,
fra cui ip sorgenti (che ho notato che anche da connessioni mobili
cambiano molto di rado), orari di connessione, volume di traffico
effettuato, etc. Con questi dati in pancia, arricchire quindi il sistema
di posta con un'"intelligenza" in grado decidere se garantire o negare
il permesso di invio di posta elettronica.
Che ne pensate?
Già si fa in diversi ISP che sono stati soggetti a questo genere di
abusi da diversi anni (tipo i grossi freemailer).

Altra prassi è quella di eseguire un motore antispam "trasparente" anche
sulla posta outbound.

Non con lo scopo di bloccare il singolo mesaggio, ma quello di mantenere
uno storico della "spammosità" media delle mail inviate dall'account,
intervenendo dapprima a mitigare[1] e poi in blocco qualora il
comportamento medio dell'account deragli dalla norma.


[1] Dove "mitigare" significa di norma dirottare la consegna dei
messaggi iniettati dall'account attraverso outbound "a bassa
reputazione", in modo da preservare la reputazione degli outbound
principali. Cosa che è preziosa e sensata per ISP ed ESP, ma poco
sensata per l'azienda media.
Post by Andrea Zwirner
Ora come ora io non saprei da che parte girarmi, ne per quanto riguarda
gli strumenti da utilizzare, ne tantomeno per come integrarli per
arrivare all'obiettivo, ma se qualcuno avesse interesse
nell'approfondire la questione, magari per produrre qualcosa id open
come PoC per ambienti basati su due prodotti di uso comune (e.g.
postfix+dovecot), io sono a disposizione per prendere parte al progetto.
In bocca al lupo :-P


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Marcello Sonaglia
2014-06-24 08:57:20 UTC
Permalink
Post by Alessio Cecchi
Ciao,
negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'Ú stato un notevole incremento dell'invio di spam (o
almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da
parte di account email con password troppo semplici o "rubate" ad
opera di malware/virus (immagino) presenti cui PC degli utenti.
Qualche cosa di più di 15-20 giorni.
Da noi si sono evidenziati problemi di questo tipo già l'anno scorso.
Post by Alessio Cecchi
Addirittura abbiano notato l'accesso al servizio SMTP autenticato a
caselle email che non eseguivano login da molto tempo (e con password
non banali), segno che tali furti delle credenziali erano stati
compiuti molto tempo a dietro ma che solo ora sono entrati in
azione.
Confermo.
Addirittura visto con i miei occhi spammer che vistosi bloccare un
account hanno semplicemente cominciato ad usarne un altro a conferma
dell'ipotesi del furto delle credenziali.
Post by Alessio Cecchi
L'accesso, con queste credenziali, ai server SMTP avviene quasi
sempre da IP di Asiatici/Est Europei ma in qualche caso ho notato
anche accessi da IP "nostrani".
Noi non abbiamo riscontrato IP dell'europa occidentale. Solo Asiatici.
Post by Alessio Cecchi
In questi casi il nostro sistema blocca l'accesso al servizio
SMTP-Auth ma gli utenti (esclusivamente aziendali) non sembrano
essere preoccupati dal fatto che qualcuno abbia le credenziali per
accedere alla loro casella email (o magari nemmeno lo comprendono).
Confermo l'assoluta indifferenza da parte degli "IT manager" e degli
utenti. La loro unica preoccupazione Ú quella di non poter inviare email
perche' inseriti nelle liste RBL.
Tentata la via della sensibilizzazione con scarso successo, sia per
clienti privanti che per quelli della PA.
Noi abbiamo Inserito dei trigger in base al numero di mail inviate per
avere riscontro immediato di eventuali anomalie ed abbiamo attivato il
controllo antispam anche sulle email in uscita. Dove possibile abbiamo
attivato i controlli sulla provenienza degli IP ed il Bann automatico
dell'IP di provenienza nel caso in cui si passi una soglia massimo di
invii al minuto.
Post by Alessio Cecchi
Avete notato anche voi fenomeni di questo genere?
uff ;)
Post by Alessio Cecchi
L'impressione mia Ú che qualcuno raccolga queste password mediante
"virus", poi le venda a qualcuno che quando ne ha un buon numero o
riceve una "commessa" lancia l'invio di spam.
Probabilmente ma non ho documentazione al riguardo ...
La mia sensazione Ú che l'ipotetico malware vada a caccia dei famigerati
"file delle password" che molti "responsabili IT" conservano sulle share
senza manco criptarli (NC) alla faccia di tutte le norme e di tutti i
best practice ;)
Post by Alessio Cecchi
Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"?
Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
DROP) per limitare le connessioni da questi IP, a protezione di un
SMTP autenticato?
Applicando i provvedimenti sopra descritti Noi abbiamo ottenuto ottimi
risultati.

Ciao ... M
kionez
2014-06-24 09:40:57 UTC
Permalink
#include <Marcello Sonaglia.h> // created 24/06/2014 10:57
[cut]
Post by Marcello Sonaglia
Probabilmente ma non ho documentazione al riguardo ...
La mia sensazione è che l'ipotetico malware vada a caccia dei famigerati
"file delle password"
[cut]

my two cents, giusto per incrementare la statistica.

a quanto ho notato da metà dicembre stanno sfruttando vari account
compromessi raccolti nel tempo... in un caso nonostante la pulizia delle
macchine della rete del cliente e il cambio di tutte le password, il
problema si è ripresentato dopo 3 mesi: invii massivi autenticati da ip
stranieri.

ho notato anche comportamenti curiosi di spammer che definisco "timidi",
ovvero invece di inviare il maggior numero di messaggi nel minor tempo
possibile, inviano 4\5 messaggi al giorno, autenticandosi da ip sempre
diversi e sparsi per il globo, in modo da non generare sospetti.

in linea di massima la casistica è questa:

- utente autenticato via sasl da ip stranieri
- nessun accesso a pop3\imap
- messaggio con from casuale (***@dominiocompromesso.it), nel body
messaggio spammoso con url a sito compromesso

ho notato che nel 99% dei casi gli attaccanti arrivano a colpo sicuro,
nessun tentativo a vuoto nei mesi precedenti di accesso all'account
compromesso, quindi secondo me le credenziali sono state sottratte
direttamente sulla postazione tramite i soliti trojan\malware e soci.

ho scritto un banale scriptino in python che girando ogni mezz'ora in
cron fa il parsing di mail.log cercando di evidenziare le anomalie,
ovvero controlla ogni coppia di ip\utente e ad esempio verifica se una
connessione da cui è partita una mail autenticata ha fatto almeno un
login a pop3\imap con lo stesso utente, verifica il numero di messaggi
inviati, verifica il numero di connessioni diverse da cui si è
autenticato e via dicendo (ovviamente è riassunto male e banalizzato, ma
il senso è questo) e mi notifica se c'è qualcosa di strano.. è
continuamente un work-in-progress, man mano che trovo nuovi "algoritmi
euristici" (è quasi un applicazione dei filtri baesyani) li aggiungo.

a questo ho affiancato postfwd che con una manciata di policy limita su
base temporale il numero di messaggi e di destinatari per il singolo
utente autenticato, un'altra policy applicata su alcuni clienti
impedisce che il campo "From:" sia diverso dall'utente autenticato e
infine ho attivato il controllo antispam e sopratutto le firme di
sanesecurity [1] che spesso riescono a intervenire tempestivamente a
bloccare i messaggi contenenti url "illecite"...

non sono soluzioni definitive ne così precise, ma al momento è il meglio
che sono riuscito a tirar fuori dal cilindro, ho intercettato e fermato
tempestivamente una 30ina di situazioni del genere.
purtroppo convincere gli utenti a un frequente cambio password è
praticamente impossibile, così come chieder loro di cambiare la porta
per gli invii autenticati.. è una battaglia persa in partenza :)

k.

1: http://sanesecurity.com/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
kionez
2014-06-25 15:32:49 UTC
Permalink
#include <kionez.h> // created 24/06/2014 11:40

[cut]
Post by kionez
ho scritto un banale scriptino in python
[cut]

siccome mi è stato chiesto off-list di visionare lo script, gli ho dato
una ripulita, una sistematina e l'ho messo qui:

https://www.dropbox.com/s/sa2trdez96xowxe/antispambot.py

siate buoni, è uno dei miei primi esperimenti di questo tipo con python :)

La versione "arricchita" (ci sono i controlli su postfwd e l'invio di
sms per soglie preoccupanti) gira da mesi sui server che controllo e non
ha mai creato problemi

Ho messo un banale sistema di whitelisting per evitare le segnalazioni
di "false anomalie" e un altrettanto banale sistema per avere la
segnalazione di una singola anomalia solo ogni TOT ore.

E' scritto nei ritagli di tempo, in maniera barbara e sopratutto cucito
per i miei sistemi (postfix+sasl+courier), in poco tempo si può scrivere
un parser più intelligente per altri demoni.. insomma, lo butto in lista
per dare un'idea di base sperando che con un po' di confronti e
sopratutto con qualcuno che sappia programmare in maniera decente,
magari si riesce a produrre un tool utile anche a qualcun'altro :)

[bisognerebbe pensare a un sistema più efficace di parsing, di
segnalazione, di configurazione... insomma, la lista del TODO potrebbe
essere molto lunga]

sono ovviamente a disposizione per chiarimenti e confronti! ;)

k.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
kionez
2014-07-01 08:28:11 UTC
Permalink
#include <kionez.h> // created 24/06/2014 11:40

[cut]
autenticandosi da ip sempre diversi e sparsi per il globo, in modo
da non generare sospetti.
aggiorno la statistica, casomai a qualcuno interessi...

poco fa mi è arrivata una notifica dallo script postato precedentemente
in lista, ho notato che tra i vari accessi un aumento delle connessioni
italiane (vodafone, telecom, fastweb...).. probabilmente questa botnet è
localizzata :)

[utente di grossa azienda, tendenzialmente sicura in quanto seguita da
tecnici affidabili.. sarei curioso di sapere se e quando hanno notato
infezioni di virus o simili o se è il solito smartcoso del capo ;) ]

k.

***@dominio.compromesso : numero accessi SMTP sospetto: 23

#: 1 net-93-150-15-202.cust.vodafonedsl.it [93.150.15.202]
#: 1 151.76.84.148 [151.76.84.148]
#: 1 host186-173-static.39-79-b.business.telecomitalia.it [79.39.173.186]
#: 1 host38-4-static.29-79-b.business.telecomitalia.it [79.29.4.38]
#: 1 2-232-224-175.ip214.fastwebnet.it [2.232.224.175]
#: 1 213.191.158.24 [213.191.158.24]
#: 1 2-226-105-115.ip180.fastwebnet.it [2.226.105.115]
#: 2 host211-150-static.225-95-b.business.telecomitalia.it [95.225.150.211]
#: 2 net-93-67-226-41.cust.vodafonedsl.it [93.67.226.41]
#: 1 ipservice-092-210-042-252.pools.arcor-ip.net [92.210.42.252]
#: 1 93-35-51-127.ip53.fastwebnet.it [93.35.51.127]
#: 1 212.103.211.42 [212.103.211.42]
#: 1 213.147.121.249 [213.147.121.249]
#: 2 host41-71-static.242-95-b.business.telecomitalia.it [95.242.71.41]
#: 2 host179-132-dynamic.50-82-r.retail.telecomitalia.it [82.50.132.179]
#: 1 93-34-232-73.ip51.fastwebnet.it [93.34.232.73]
#: 1 151.8.225.78 [151.8.225.78]
#: 1 host211-120-static.18-80-b.business.telecomitalia.it [80.18.120.211]
#: 2 ip-109-42-84-185.web.vodafone.de [109.42.84.185]
#: 1 93.55.16.221 [93.55.16.221]
#: 1 37-186-239-26.ip270.fastwebnet.it [37.186.239.26]
#: 1 host15-194-static.29-87-b.business.telecomitalia.it [87.29.194.15]
#: 1 host39-106-dynamic.36-79-r.retail.telecomitalia.it [79.36.106.39]


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Alessio Cecchi
2014-07-04 09:48:54 UTC
Permalink
Post by Alessio Cecchi
L'impressione mia è che qualcuno raccolga queste password mediante
"virus", poi le venda a qualcuno che quando ne ha un buon numero o
riceve una "commessa" lancia l'invio di spam.
Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"?
Ringrazio tutti per le risposte ed aggiungo che da qualche giorno a
questa parte la maggior parte dei tentativi di invio arriva da IP
italiani, quasi tutti di ADSL Telecom Italia (forse solo perchè sono le
più diffuse). E spesso gli invii partono in simultanea da più account e
da più IP diversi (stamani è stato il turno degli account
"***@QUALCOSA") segno di qualcosa che controlla e lancia
tutti insieme gli attacchi.
Post by Alessio Cecchi
Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
DROP) per limitare le connessioni da questi IP, a protezione di un
SMTP autenticato?
Ho raccolto un pò di questi IP e verificati su varie liste, nessuna
risulterebbe realmente utile al loro blocco senza bloccare anche utenti
legittimi.


Ciao
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Continue reading on narkive:
Loading...