Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le Snowshoe Spam n'est pas une activité hivernale, malheureusement …

Le Snowshoe Spam n'est pas une activité hivernale, malheureusement …
2016-02-172016-03-29sécurité des réseauxfr
Snowshoe fait référence aux raquettes utilisées pour marcher sur la neige sans s’enfoncer et en laissant le moins de traces possible. Par analogie, un Snowshoe spammeur va tenter de laisser l’empreinte la plus légère possible pour ne pas se faire repérer par les systèmes de sécurité....
Publié le 17 Février 2016 par Philippe Macia dans sécurité des réseaux
Le Snowshoe Spam n'est pas une activité hivernale, malheureusement …

Snowshoe fait référence aux raquettes utilisées pour marcher sur la neige sans s’enfoncer et en laissant le moins de traces possible. Par analogie, un Snowshoe spammeur va tenter de laisser l’empreinte la plus légère possible pour ne pas se faire repérer par les systèmes de sécurité. Si le terme « Snowshoe Spam » est apparu pour la première fois il y a environ deux ans, il semble qu’il soit maintenant repris par de nombreux éditeurs. Tour d’horizon.

Concrètement, le Snowshoe spam qu’est-ce que c’est ?

Une campagne de Snowshoe spam est caractérisée par :

  • une attaque de courte durée ;
  • des envois provenant d’un grand nombre d’adresses IPs différentes ayant une réputation neutre ou inconnue (on parle parfois de Rotating Domain type spam) ;
  • un volume relativement réduit de messages envoyé par chaque adresse d’émission ;
  • une ressemblance avec des e-mails légitimes mais avec un composant aléatoire (contenu, objet, nom de pièce jointe) destiné à tromper les moteurs anti-spam ;
  • l’utilisation de domaines de messagerie fantaisistes ;
  • un message contenant un élément destiné à piéger le destinataire (lien URL ou pièce jointe).

On peut trouver quelques exemples de campagnes de Snowshoe spam dans ce document produit par Symantec : Global spam landscape : Snowshoe spam

Comment se protéger du Snowshoe Spam ?

Disons le tout de suite, il est difficile de se protéger de ces campagnes sans une solution de relai sécurisé moderne. Du fait du faible volume de spam provenant d’une adresse Ip ou d’un même domaine, les Realtime Blackhole List, ou RBL (liste d'adresses IP d'expéditeurs potentiellement  à l'origine de spam) ne sont pas immédiatement efficaces contre le Snowshoe spam, sauf si le spammeur utilise des adresses appartenant à une même classe (par exemple si les adresses appartiennent toutes à un même /24).

Il faut donc s’en remettre aux moteurs d’analyses avancés ayant la capacité d’analyser les URLs contenues dans les messages, ou à des moteurs d’analyse comportementale, voire à des Sandbox. Autre possibilité,  retenir les messages suspects pour un second scan ultérieur, le temps que les RBL soient mis à jour. Cette solution est à double tranchant car elle peut retarder la délivrance de mails légitimes mais semble efficace. Selon une étude de Sophos, dans le cas d’une campagne de Snowshoe spamming, 92 % des mails suspects mis en attente et qui n’avaient pas été identifiés comme spam lors d’un premier examen l’ont été lors d’un second scan.

Quant à l’analyse manuelle, même si elle permet souvent de valider le spam de façon assez certaine, elle reste très couteuse et souvent peu appropriée pour ce genre de spam.

Philippe

Pour aller plus loin

Orange Cyberdefense protège vos essentiels

Pour tout savoir sur les tendances 2016 de la cyberdéfense

BountyFactory : que penser des centrales de chasse aux failles de sécurité ?

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage