Open Source im professionellen Einsatz

Mailserver-Konferenz: Hinter den Kulissen der Spamjäger

06.07.2009

Wie lange benötigt ein gerade zum Zombie mutierter PC von der Infektion bis zum ersten Spamversand? Wieviele neue Zombies werden täglich registriert?
Carel van Straten, Ermittler bei "The Spamhaus Project" gab bei der Heinlein Mailserver-Konferenz in Berlin einen Einblick in seine Tätigkeit und Antworten auf diese Fragen.

405

Während am ersten Tag der Mailserver-Konferenz ein Vertreter des Bundekriminalamts sich aus informationspolitischen Gründen sehr zurückhaltend über Ermittlungsmethoden und Details äußerte, hatte Carel van Straten interessante und hilfreiche Hinweise für die anwesenden Postmaster parat. Vorab die Antworten: Von der Infektion mit W32/Warezov bis zur ersten versendeten Spam-Mail vergehen 36 Sekunden. Und: Am 1. Juli 2009 wurden über die Spamhaus Exploits Blacklist 2.329.318 eindeutige IP-Adressen neu registriert.

Das Spamhaus Projekt wurde 1998 ins Leben gerufen und ist - wegen seiner manchmal unorthodoxen Methoden - nicht immer unumstritten. In enger Zusammenarbeit mit großen ISPs, Registraren, Strafverfolgungsbehörden und Community werden nach eigenen Angaben 1,5 Milliarden Mailboxen durch die Listen von Spamhaus vor unerwünschter Post geschützt.

Zuverlässige Blocklisten erhalte nur, wer die Infrastruktur der Spammer analysiere, führte van Starten aus. Erfasse man lediglich die Quellen, vergehe immer eine Zeit, in der diese Systeme ungehindert ihrer Botschaften ins Netz spülen. Malware der letzten Generationen infiziere ihrer Ziele nicht mehr blind mit beliebigen Schadfunktionen, sondern analysiere sie hinsichtlich nutzbarer Bandbreite, Auslastung und eventuell bereits existierender Einträge in Blocklistings und weise ihnen danach eine Aufgabe zu. Ein Zombie, welcher nicht mehr für den SMTP-Versand nutzbar sei, könne immer noch als Quelle für DDoS-Angriffe dienen.

Wie effektiv das Aufspüren und letztendlich die Abschaltung der zentralen Infrastruktur sein kann, werden Besitzer spamgeplagter Mailboxen Anfang Juni gemerkt haben. Damals habe die US-amerikanische Handelsaufsichtsbehörde Federal Trade Commission (FTC) den "spezialisierten” ISP Pricewert LLC (auch als 3FN und APS Telecom agierend) vom Netz genommen. LLC hostete unter anderem Command-and-Control Server. Als Folge der Abschaltung seien die von diesen Systemen gesteuerten Zombies orientierungslos gewesen, was die Graphen für den Cutwail-Spambot bei Spamhaus eindrucksvoll belegen würden.

Es verwundere wenig, dass die Spam-Szene mit neuen Technologien gegensteuert und versuche, ihre Infrastruktur gegen derartige Ausfälle zu wappnen. Für das Hosting von Malware und durch Spam beworbenen Angeboten werde vermehrt auf "fast flux" gesetzt. Im Gegensatz zum herkömmlichen Hosting können hier mehrere Systeme antworten. Beim “super fast flux” seien auch die Nameserver für die benutzten Domains innerhalb von wenigen Minuten ausgetauscht. Das Hosting des eigentlichen Inhaltes, so van Straten, werde mehr und mehr durch Reverse Proxies und VPN-Technologien verschleiert. Bei der Analyse der Infrastruktur eines Spammer-Netzwerkes entdeckte Spamhaus rund 80 Server auf 6 Länder verteilt, die sicherstellen sollten, dass das Spam-Netzwerk weiterfunktioniert, wenn ein ISP wegfällt, berichtete van Straten.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 10/2016

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.