#include <Marcello Sonaglia.h> // created 24/06/2014 10:57 [cut] > Probabilmente ma non ho documentazione al riguardo ... > La mia sensazione è che l'ipotetico malware vada a caccia dei famigerati > "file delle password" [cut]
my two cents, giusto per incrementare la statistica. a quanto ho notato da metà dicembre stanno sfruttando vari account compromessi raccolti nel tempo... in un caso nonostante la pulizia delle macchine della rete del cliente e il cambio di tutte le password, il problema si è ripresentato dopo 3 mesi: invii massivi autenticati da ip stranieri. ho notato anche comportamenti curiosi di spammer che definisco "timidi", ovvero invece di inviare il maggior numero di messaggi nel minor tempo possibile, inviano 4\5 messaggi al giorno, autenticandosi da ip sempre diversi e sparsi per il globo, in modo da non generare sospetti. in linea di massima la casistica è questa: - utente autenticato via sasl da ip stranieri - nessun accesso a pop3\imap - messaggio con from casuale ([email protected]), nel body messaggio spammoso con url a sito compromesso ho notato che nel 99% dei casi gli attaccanti arrivano a colpo sicuro, nessun tentativo a vuoto nei mesi precedenti di accesso all'account compromesso, quindi secondo me le credenziali sono state sottratte direttamente sulla postazione tramite i soliti trojan\malware e soci. ho scritto un banale scriptino in python che girando ogni mezz'ora in cron fa il parsing di mail.log cercando di evidenziare le anomalie, ovvero controlla ogni coppia di ip\utente e ad esempio verifica se una connessione da cui è partita una mail autenticata ha fatto almeno un login a pop3\imap con lo stesso utente, verifica il numero di messaggi inviati, verifica il numero di connessioni diverse da cui si è autenticato e via dicendo (ovviamente è riassunto male e banalizzato, ma il senso è questo) e mi notifica se c'è qualcosa di strano.. è continuamente un work-in-progress, man mano che trovo nuovi "algoritmi euristici" (è quasi un applicazione dei filtri baesyani) li aggiungo. a questo ho affiancato postfwd che con una manciata di policy limita su base temporale il numero di messaggi e di destinatari per il singolo utente autenticato, un'altra policy applicata su alcuni clienti impedisce che il campo "From:" sia diverso dall'utente autenticato e infine ho attivato il controllo antispam e sopratutto le firme di sanesecurity [1] che spesso riescono a intervenire tempestivamente a bloccare i messaggi contenenti url "illecite"... non sono soluzioni definitive ne così precise, ma al momento è il meglio che sono riuscito a tirar fuori dal cilindro, ho intercettato e fermato tempestivamente una 30ina di situazioni del genere. purtroppo convincere gli utenti a un frequente cambio password è praticamente impossibile, così come chieder loro di cambiare la porta per gli invii autenticati.. è una battaglia persa in partenza :) k. 1: http://sanesecurity.com/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
