[MASOCH-L] Nova forma de burlar anti-spam

Rejaine Monteiro rejaine at bhz.jamef.com.br
Wed Jun 4 10:39:15 BRT 2014 

TEu estava recebendo uma avalance de e-mails sobre 'segue o orçamento 
solicitado' ou 'segue planilha de orçamento' em que estava tendo 
dificuldades de pontuar pelo spamassassin justamente por não conter 
muita coisa no texto para ser avaliado e ter apenas um arquivo HTML 
anexado contendo link para o malware..  O jeito que encontrei foi fazer 
uma regra do tipo abaixo:

header _ORCAMENTO_H /or.?amento|planilha/i
body _ORCAMENTO_B /or.?amento|planilha/i
mimeheader _ORCAMENTO_M Content-Disposition =~ /\.html[";]/i
uri _ORCAMENTO_U  /or.?amento|planilha/i
meta ORCAMENTO ( _ORCAMENTO_H || _ORCAMENTO_B ) &&  ( _ORCAMENTO_M || 
ORCAMENTO_U )
score ORCAMENTO   5.5

A regar no caso vai pontuar as mensagens que contiverem no assunto OU 
corpo  a palavra orçamentou OU planilha _E_ também tiverem na URL OU no 
conteúdo do MIME um arquivo HTML anexado. Como a regra só vai pontuar as 
que atenderem todas as duas partes do teste, o risco de pontuar algo que 
seja legítimo é menor (apesar de ainda poder existir, mas pelo menos até 
então resolveu, em parte, o problema)


Em 04-06-2014 10:06, Alan C. Besen - TPA Telecomunicações escreveu:
> Prezado
>
> Agradeço pelo compartilhamento
>
> Vou fazer um testes e lhe reporto qualquer anormalidade que eu achar.
>
> Muito Obrigado!
>
>
>
> -----Original Message-----
> From: masoch-l-bounces at eng.registro.br
> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
> Sent: quarta-feira, 4 de junho de 2014 09:53
> To: Mail Aid and Succor, On-line Comfort and Help
> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>
> Beleza. Eu vi aqui e ele não tem informação sigilosa. Então segue o link:
>
>      https://dl.dropboxusercontent.com/u/44768624/MailAnalisis.zip
>
> Se for usar o JAR direto digite use o seguinte comando:
>
>      java -jar MailAnalisis.jar <diretório das mensagems HAM> <diretório
>      das mensagens SPAM> /etc/spamassassin/custom.cf
>
> Depois tem que reiniciar o spamassassim. Nunca enviei este programa para
> alguém, então me reporte os erros beleza?
>
> Eu escrevi este programa a muitos anos sem fazer revisão alguma. Foi quando
> comecei a estudar ciência da computação. Então certamente ter várias coisas
> estranhas lá. Como ele sempre me gerou arquivos de configuração eficientes
> (acimas de 99%), eu nunca tive interesse em voltar a trabalhar nele.
>
> Só tem outro detalhe: a escala de pontuação dele está diferente do padrão.
> Enquanto o pessoal costuma usar limiares altos no padrão, para este aqui eu
> uso 20 para inteiro (se não me engando é 2.0 como decimal).
>
> Leandro Carlos Rodrigues
> TI All Chemistry do Brasil
> (11) 3014-7100
>
> Em 04/06/2014 09:36, Alan C. Besen - TPA Telecomunicações escreveu:
>> Leandro
>>
>> Por padrão, não gostei muito também a eficiência.
>>
>> A medida que estou fazendo o treinamento e bayes em base de dados
>> (hoje, tenho vários MXs e SpamFilters) está ajudando bastante na
>> eficiência. Em questão de dias, com autolearn ativado e treinamento
>> dos próprios usuários melhorou consideravelmente a filtragem.
>>
>> Se você puder compartilhar o programa, agradeço.
>>
>>
>>
>>
>>
>> -----Original Message-----
>> From: masoch-l-bounces at eng.registro.br
>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>> Sent: quarta-feira, 4 de junho de 2014 09:21
>> To: Mail Aid and Succor, On-line Comfort and Help
>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>
>> Alan,
>>
>> Eu também faço algo semelhante. Tive que criar um programa em Java
>> para analisar todos os conteúdos dos e-mails e gerar um conjunto de
>> tokens no arquivo custom.cf para meu caso particular usando o histórico.
>>
>> Depois de muito tempo usando a configuração padrão do spamassasin,
>> fiquei muito decepcionado com a eficiência dele. Eu vou dar uma
>> analisada neste programa e se não houver informação sigilosa eu te
>> envio ele. Só não sei se você vai entender porque eu não documentei
>> mas eu te dou um suporte se for o caso.
>>
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7100
>>
>> Em 04/06/2014 09:13, Alan C. Besen - TPA Telecomunicações escreveu:
>>> Leandro
>>>
>>> Eu estou testando o ripmime para jogar mensagens anexadas e conteudo
>>> mime em uma pasta e usar o sa-learn nesta pasta temporaria.
>>>
>>> Agora, resta se ele pega os tokens corretamente e faz o treinamento
>>> com base nas caracteristicas da mensagem + anexos.
>>>
>>> Não sei se vai funcionar, estou fazendo alguns testes aqui. E nem sei
>>> se é o caminho mais adequado. Se tiver alguém que tenha conhecimento
>>> maior em spamassasin, poderia dar uma luz.
>>>
>>> -----Original Message-----
>>> From: masoch-l-bounces at eng.registro.br
>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>> Sent: quarta-feira, 4 de junho de 2014 09:03
>>> To: Mail Aid and Succor, On-line Comfort and Help
>>> Subject: Re: [MASOCH-L] Nova forma de burlar anti-spam
>>>
>>> Alan,
>>>
>>> Ideia genial fazer análise do conteúdo. Seria possível detectar as
>>> tags que fazem o redirecionamento. Agora só falta fazer um regex que
>>> seja capaz de fazer isto e implementar ele num script.
>>>
>>> Alguém da lista manja de conteúdo HTML para gerar deste regex para a
>>> comunidade?
>>>
>>> Leandro Carlos Rodrigues
>>> TI All Chemistry do Brasil
>>> (11) 3014-7100
>>>
>>> Em 04/06/2014 08:54, Alan C. Besen - TPA Telecomunicações escreveu:
>>>> Prezado
>>>>
>>>> Um site que eu sei que manda anexo HTML e o infoemail do Bradesco.
>>>>
>>>> Estava analisando como fazer o mesmo filtro/analise de conteudo no
> anexo.
>>>>
>>>>
>>>> -----Original Message-----
>>>> From: masoch-l-bounces at eng.registro.br
>>>> [mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Leandro
>>>> Sent: quarta-feira, 4 de junho de 2014 08:51
>>>> To: Mail Aid and Succor, On-line Comfort and Help
>>>> Subject: [MASOCH-L] Nova forma de burlar anti-spam
>>>>
>>>> Pessoal,
>>>>
>>>> Estamos recebendo uma quantidade massiva de mensagens fraudulentas
>>>> com anexos em HTML cujo conteúdo redireciona para o site do
>>>> criminoso. O texto da mensagem geralmente é muito convincente e
>>>> acaba enganando até os
>>> usuários
>>>> mais espertos.
>>>>
>>>> Estamos com muita dificuldade de criar um filtro eficiente que
>>>> elimine
>>> este
>>>> tipo de mensagem. A única forma que encontramos foi barrar todas as
>>>> mensagens que tenham anexos HTML. Como nunca fizemos isto antes,
>>>> gostaria
>>> de
>>>> saber se algum de vocês conhecem casos legítimos de envio de anexos
>>>> de
>>> HTML
>>>> e se são frequentes para eu implementar o filtro sem medo.
>>>>
>>>> Obrigado.
>>>>
>>>> --
>>>> Leandro Carlos Rodrigues
>>>> TI All Chemistry do Brasil
>>>> (11) 3014-7100
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list