Pdf-spam: spam evolueert, nieuwste gevaar is pdf

Pdf-spam: spam evolueert, nieuwste gevaar is pdf Een whitepaper van MessageLabs, augustus 2007 Nick Johnston, Anti-Spam Development, MessageLabs

Inhoudsopgave Inleiding Het ontstaan van pdf-spam Pdf-spam ontwikkelt zich snel Willekeurig gegenereerde pdf-documenten Corrupte bestanden om ontdekking te vermijden Pdf-bestanden met variabele lengte Diverse soorten pdf-spam Het maken van pdf-spam Bestrijd het gevaar

3 3 3 4 5 5 6 6 7

2

Inleiding

Spammers staan bekend om hun creativiteit en de vele manieren waarop zij spamfilters proberen te omzeilen

Spammers staan bekend om hun creativiteit en de vele manieren waarop zij spamfilters proberen te omzeilen. Afbeeldingenspam is al jaren erg populair. Daarbij gebruiken de spammers een aantal verschillende technieken om willekeurig afbeeldingen te genereren, waardoor onderschepping sterk wordt bemoeilijkt. Nu niet alleen MessageLabs maar ook de antispamwereld in het algemeen verbeterde beeldverwerkingstechnieken toepast, stappen zij steeds vaker over op een nieuwe bestandsindeling: pdf. In deze whitepaper van MessageLabs wordt uitgelegd wat pdf-spam is en hoe spammers de bestrijdingstechnieken een stap voor proberen te blijven. De hier gepresenteerde informatie en analyse is gebaseerd op de praktijkervaring van MessageLabs, dat beheerservices voor de beveiliging van berichtenverkeer en websites verzorgt voor meer dan 15.000 klanten over de hele wereld voor wie wekelijks ongeveer 1,5 miljard e-mailberichten worden verwerkt.

Het ontstaan van pdf-spam Pdf (portable document format) is een populaire documentindeling, die is ontwikkeld door Adobe Systems en die veel wordt gebruikt voor de uitwisseling van zakelijke documenten. Op zichzelf is het een betrouwbare bestandsindeling. Veel ‘naïeve’ antispamoplossingen keuren dan ook automatisch alle berichten goed die een pdfbestand bevatten. Het belang en de acceptatie van pdf onder zakelijke gebruikers zijn zo groot dat op vrijwel elke computer in een bedrijfsomgeving een pdfleesprogramma is geïnstalleerd. Dit maakt pdf tot een ideaal ‘vehikel’ voor spamberichten. MessageLabs stuitte voor het eerst op grootschalige pdf-spam in de loop van juni 2007. Deze spamcampagne betrof ‘pump-and-dump’ zwendel waarbij een Duits aandeel werd gepromoot. Veel nieuwe spamvarianten beginnen heel primitief en pdf-spam is daarop geen uitzondering. In de eerste reeks spamberichten werd voor elk bericht exact hetzelfde document gebruikt, waardoor de berichten eenvoudig tegen te houden waren met behulp van ‘hashing’ of ‘fingerprinting’ (zoals bijvoorbeeld MD5).

Duits voorbeeld van pdf-spam 1

Pdf-spam ontwikkelt zich snel Kort nadat de eerste grote pdf-spamcampagne was ontdekt zag MessageLabs er meer voorbijkomen. Maar ditmaal was aan elk afzonderlijk bericht een ander pdfbestand toegevoegd. Spammers waren al langer in staat willekeurig afbeeldingen te

3

genereren maar nu hebben zij hun botnetsoftware uitgebreid zodat het voor hen een fluitje van een cent is om die willekeurige afbeeldingen in te voegen in pdfdocumenten. Dit betekent dat elk pdf-document dat een spammer verstuurt anders is en moeilijker te onderscheppen zal zijn.

Willekeurig gegenereerde pdf-documenten Onderstaande afbeeldingen (afkomstig uit willekeurig gegenereerde pdfdocumenten) vormen een goede illustratie van het concept. Elke afbeelding bevat exact dezelfde tekst, maar de vorm is verschillend, net als de kleuren:

Spammers waren al langer in staat willekeurig afbeeldingen te genereren maar nu hebben zij hun botnetsoftware uitgebreid zodat het voor hen een fluitje van een cent is om die willekeurige afbeeldingen in te voegen in pdf-documenten

Afbeelding 1: Willekeurig gegenereerde pdf-spam 1

Afbeelding 2: Willekeurig gegenereerde pdf-spam 2

Afbeelding 3: Willekeurig gegenereerde pdf-spam 3

4

In tegenstelling tot legitieme zakelijke pdf-bestanden maken de pdf-bestanden uit deze spamberichten geen gebruik van standaardpapierformaten zoals A4 of Letter. Het ene document kan bijvoorbeeld 74,4 bij 96 mm zijn en een ander 168,3 bij 54,7 mm.

Corrupte bestanden om ontdekking te vermijden Veel bestanden met afbeeldingenspam zijn opzettelijk gecorrumpeerd – dat wil zeggen dat de afbeeldingen zo zijn gemaakt dat ze niet voldoen aan de geldende specificatie of standaard. Door corrupte bestanden te gebruiken maken de spammers het voor de analyseprogramma’s van de spambestrijders moeilijker om de afbeeldingen te openen en te controleren. Sommige computerprogramma’s zullen dergelijke afbeeldingen niet kunnen verwerken. De afbeeldingen kunnen er zelfs toe leiden dat programma’s trager werken, meer systeembronnen gebruiken of zelfs vastlopen. Tegelijkertijd gaan de spammers er echter van uit dat andere applicaties (zoals de meeste gewone e-mailprogramma’s) zich toleranter opstellen en de afbeeldingen zonder problemen weergeven. MessageLabs constateert dat een soortgelijke tactiek wordt toegepast met pdfspam en heeft al veel corrupte pdf-documenten onderschept. Onduidelijk is of deze corruptie onbedoeld of opzettelijk is, maar net als bij corrupte afbeeldingen werken zuivere verwerkingsprogramma’s vaak niet met deze pdf-bestanden, hetgeen hun analyse en identificatie erg moeilijk maakt. De berichten kunnen echter wel worden ® bekeken door de ontvangers omdat Acrobat Reader van Adobe de pdf correct blijft weergeven (door een deel van de interne documentstructuur opnieuw op te ® bouwen). Sommige oudere versies van Acrobat Reader genereren een dialoogvenster waarin de gebruiker wordt meegedeeld dat het bestand beschadigd is en wordt hersteld, maar hierbij is geen reactie van de gebruiker vereist.

Pdf-bestanden met variabele lengte

Een van de nieuwste tactieken die MessageLabs waarneemt is het gebruik van pdfdocumenten met variabele lengte

Een van de nieuwste tactieken die MessageLabs waarneemt is het gebruik van pdfdocumenten met variabele lengte. Tot voor kort waren de meeste pdf-bestanden in spamberichten simpele documenten van één pagina. Bij pdf-spam met variabele lengte daarentegen bevat pakweg de eerste halve pagina het spambericht, terwijl de rest van de pagina en een willekeurig aantal vervolgpagina’s uit ‘giftekst’ bestaan. Het gif is bedoeld om statistische antispamtechnieken, zoals Bayes, om de tuin te leiden. We hebben pdf-spamdocumenten gezien met wel 14 vergiftigde pagina’s. Het gif kan bestaan uit willekeurige woorden, gecontroleerd gegenereerde ‘nonsenstekst’ of legitieme tekst die van populaire websites is geplukt. Enkele voorbeelden van zulke tekst:

But in light of their back-stabbing, Artificial Intelligence-inspired offenses and their sinister, temptation-ridden environment this response is degenerate. Ships from and sold by Amazon. I also had my tripod and took several amazing long exposure shots of the interior.

Waarschijnlijk denken spammers dat langere pdf-documenten eerder zullen worden beschouwd als legitieme zakelijke documenten zoals rapporten, handleidingen, enzovoort.

5

Diverse soorten pdf-spam De meeste media-aandacht voor pdf-spam is uitsluitend gericht op de ‘pump-anddump’ aandelenspam. MessageLabs heeft echter ook pdf-documenten onderschept die werden gebruikt in andere soorten spam, bijvoorbeeld berichten over geneesmiddelen en onlinecasino’s. Enkele recente voorbeelden:

Voorbeeld van pdf-spam 2

Voorbeeld van pdf-spam 3

Het maken van pdf-spam Spammers gebruiken heel uiteenlopende hulpmiddelen om hun pdf-documenten te maken. Veel van deze tools laten hun naam in het document zelf achter als “producer” of “creator” van het bestand. Sommige spammers gebruiken gewone kantoorapplicaties zoals Microsoft Word en OpenOffice:

/Producer(GNU Ghostscript 7.07) /Creator(OpenOffice.org 1.1.4) /Title(Microsoft Word - sancashtemplate.doc) /Creator(PScript5.dll Version 5.2.2)

Andere spammers gebruiken tools zoals PowerPDF, text2pdf en dergelijke voor de productie van hun pdf-documenten. De laatste tijd zijn spammers begonnen eigen programma’s te maken om pdf-documenten te produceren. Daarmee bereiken ze maximale flexibiliteit en kunnen ze willekeurige namen voor de “producer” en willekeurige titels genereren die moeilijk te herkennen zijn met antispamsoftware,, zoals in de onderstaande voorbeelden:

6

Title: One of the most interesting things about the present development of the automobile is the trend to give cars a retro look. Producer: For pure and simple ugly no one has been able to beat them Title: , has a new promotion that puts its money where its mouth is. Producer: The flights will be convenient for travellers coming from the U

Veel mensen zijn vertrouwd met pdf-documenten, maar er zijn ook een paar verwante bestandsindelingen die betrekkelijk onbekend zijn. Onlangs heeft MessageLabs spam ontdekt met op het oog fdf-bijlagen (forms data format), die ook ® kunnen worden geopend met Acrobat Reader. De bijlagen zijn in werkelijkheid pdfbestanden die alleen maar zijn voorzien van de extensie .fdf. Ook dit is waarschijnlijk een poging van de spammers om antispamsoftware te omzeilen die alleen afgaat op de extensie (in dit geval .fdf) in plaats van een gedegen controle op het bestand zelf uit te voeren.

Bestrijd het gevaar

Pdf-spam is een toenemend probleem en nu al verantwoordelijk voor zo’n 20% van alle spam

Pdf-spam is een toenemend probleem en nu al verantwoordelijk voor zo’n 20% van alle spam. De schade die een bedrijf door spam kan oplopen mag nooit worden onderschat. De efficiency, productiviteit en winstgevendheid kunnen allemaal serieus ondermijnd worden als ongewenste e-mail de elektronische postbussen weet te bereiken. De onderschepping en verwijdering van dergelijke berichten slokt kostbare tijd en energie op. MessageLabs houdt pdf-spam tegen door middel van een breed scala aan technieken: •

Heuristische Skeptic -filters die 24 uur per dag worden geactualiseerd om de hoogst mogelijke graad van bescherming tegen pdf-spam te waarborgen.

•

Automatische blokkering van bekende pdf-spambestanden op basis van fingerprinting.

•

Loksystemen die nieuwe pdf-spamcampagnes kunnen waarnemen.

•

Instrumenten voor de detectie van corrupte pdf-bestanden.

•

Generieke methoden zoals IP-blacklisting.

®

Omdat MessageLabs een beheerde antispamservice aanbiedt, profiteren onze klanten van naadloze, permanente optimalisering van hun systemen. In combinatie met onze operationele en ontwikkelingsteams, die 24 uur per dag, 7 dagen per week, 365 dagen per jaar voor hen klaarstaan, waarborgt dit dat onze klanten altijd beschermd zijn tegen pdf-spam en andere nieuwe spamdreigingen.

7

www.messagelabs.nl [email protected] Europa HOOFDKANTOOR

Amerika HOOFDKANTOOR AMERIKA

1270 Lansdowne Court Gloucester Business Park Gloucester, GL3 4AB Verenigd Koninkrijk

512 Seventh Avenue 6th Floor New York, NY 10018 VS

T +44 (0) 1452 627.627 F +44 (0) 1452 627.628

T +1.646.519 8100 F +1.646.452 6570

LONDEN

CENTRALE REGIO

3rd Floor 40 Whitfield Street London, W1T 2RH Verenigd Koninkrijk

7760 France Avenue South Suite 1100 Bloomington, MN 55435 VS

T +44 (0) 207.291 1960 F +44 (0) 207.291 1937

T +1 952 886 7541 F +1 952 886 7498

NEDERLAND

Azië/Pacific HONGKONG

MessageLabs BV. De Geelvinck, Office 5.06 Singel 540 1017 AZ Amsterdam Netherlands

1601 Tower II 89 Queensway Admiralty Hongkong

T +31 (0) 20 5 222 393 F +31 (0) 20.491 7354

T +852 2111 3650 F +852 2111 9061

BELGIË / LUXEMBURG

AUSTRALIË

Cullinganlaan 1B B-1831 Diegem België T +32 (0) 2 403 12 61 F +32 (0) 2 403 12 12 D/AU/CH

Feringastraße 9a 85774 Unterföhring München Duitsland T +49 (0) 89 189 43 990 F +49 (0) 89 189 43 999 © MessageLabs 2007 Alle rechten voorbehouden.

Level 6 107 Mount Street, North Sydney NSW 2060 Australië T +61 2 8208 7100 F +61 2 9954 9500 SINGAPORE

Level 14 Prudential Tower 30 Cecil Street Singapore 049712 T +65 62 32 2855 F +65 6232 2300

8