Хотя злоумышленники разработали бесчисленное множество методов атак, спам по сей день остается значительным вектором угрозы для компаний. Самая последняя статистика по спаму указывает на опасность, которую представляет спам:
Злоупотребление библиотекой PHPMailer
PHPMailer, пожалуй, самая старая и самая популярная библиотека PHP для отправки электронных писем. Любой желающий может скачать его с Github и установить за считанные минуты. Библиотека известна своей надежностью и эффективностью. Он также предлагает такие функции, как возможность отправлять электронные письма в формате HTML и не в формате HTML, а также предоставлять подробные сообщения об ошибках, чтобы сообщить о своей деятельности.
Неудивительно, что этот сценарий получил широкое распространение в криминальном подполье. Многие сообщения на подпольных форумах положительно отзываются о библиотеке. Мы находим, например:
Использование почтовой программы SMTP (например, phpmailer) - гораздо лучший и простой вариант, поскольку он дает вам гораздо больше возможностей прямо из коробки.
Скрипт может быть установлен злоумышленниками на взломанный веб-сервер. Ресурсы и репутация сервера затем используются для рассылки спама, предположительно исходящего из законного источника.
Другой вариант - злоумышленники используют уязвимость в установленной версии PHPMailer, чтобы заставить ее рассылать спам . PHPMailer регулярно обновляется для исправления недостатков безопасности, но не всегда своевременно обновляется на веб-серверах. Это открывает важное окно атаки, которым могут злоупотребить злоумышленники.
Аренда PHPMailers
Существуют десятки торговых площадок, которые способствуют продаже множества незаконных товаров и услуг, включая взломанные установки PHPMailer. Мы собрали в течение 10 дней в апреле 2021 года все PHPMailer для аренды на одной такой торговой площадке из трех стран: Канады, США и Франции. Ниже мы представляем наш анализ сдаваемых в аренду PHPMailers . В частности, мы смотрим на профиль поставщиков, а также на профиль взломанных установок PHPMailer.
Профиль продавцов
Некоторые поставщики кажутся более активными на рынке, чем другие. К сожалению, о самих поставщиках известно очень мало, кроме идентификаторов, созданных рынком. Основной продавец, seller26, сдал в аренду около 20% всех инсталляций PHPMailer. Seller165 и seller138 получают по 10% от всех PHPMailer. Таким образом, существует отдельная группа продавцов, которые могут размещать больше PHPMailer, и эта группа состоит из примерно 10 продавцов.
Чтобы рассчитать выручку продавцов, мы сложили цену проданных PHPMailers для каждого продавца. Это дало нам оценку доходов за 9 дней для каждого продавца, которую мы можем использовать для экстраполяции доходов в течение года, если их доходы увеличиваются линейно.
По нашим оценкам, продавцы в среднем зарабатывают всего несколько сотен долларов в год, продавая PHPMailers. Конечно, эти продавцы, вероятно, могут рассчитывать на несколько потоков доходов, поэтому эта цифра не отражает весь их доход. Крупнейший продавец26, вероятно, заработал более 165 000 долларов только на этом рынке. Только 8 других продавцов, вероятно, преодолели барьер в 20 000 долларов. Хотя кажется, что существует корреляция между количеством продаваемых PHPMailers и доходами, эта ссылка не идеальна, поскольку, например, seller115 является вторым по величине получателем, но занимает 5-е место, когда мы подсчитываем количество продаваемых PHPMailers.
Профиль взломанных установок PHPMailer
Когда мы протестировали 5773 PHPMailers, которые мы наблюдали на торговой площадке, мы получили только 2395 тестовых писем. Это предполагает 41% успеха.
Это не означает, что 59% продаваемых PHPMailer являются мошенническими, а это означает, что их нельзя использовать для рассылки спама, если они взяты напрокат. Существует множество причин, по которым электронные письма не доходят до места назначения, и мы, к сожалению, не смогли протестировать каждый PHPMailer более одного раза по техническим причинам. Тем не менее, это то, что нужно учитывать при оценке услуг торговой площадки.
Для каждого PHPMailer мы получили доменное имя сервера, на котором он был размещен. Мы пытались загрузить домашнюю страницу каждого домена, проверяя либо само доменное имя, либо добавляя к нему www, если ничего не было возвращено с первой попытки. В ходе этого анализа мы обнаружили, что на самом деле только 394 веб-сайта были запущены и работали. Это говорит о том, что только 7% PHPMailers запускаются на серверах, на которых фактически размещен веб-сайт, причем большинство из них запускается с веб-серверов, которые, похоже, в настоящее время не используются для размещения веб-сайта. Мы извлекли для каждого содержимое тега заголовка страницы. Слово облако ниже представлены основные слова найдены в названии. Мы замечаем, что WordPress и блог- два наиболее распространенных слова, которые, возможно, указывают на них как на цели злоумышленников. Слово Греция, кажется, преобладает, но это в основном из-за единственной веб-страницы о греческих яхтах и парусном спорте, в названии которой это слово повторяется снова и снова. Еще один интересный вывод - слово « компания», которое предполагает, что многие хостинговые услуги связаны с компаниями, а не с частными лицами.
Наконец, мы вычислили средний возраст PHPMailers, то есть как долго они продавались. Наши данные показывают, что в среднем PHPMailers продаются от 30 дней (Франция, Канада) до 87 дней (США). Более высокий показатель для США можно объяснить более высоким уровнем конкуренции между продавцами и увеличением предложения PHPMailers. Максимальный возраст PHPMailers составляет около 450 дней, что означает, что непроданные PHPMailers остаются доступными на веб-сайте, даже если они, вероятно, больше не работают или не обслуживаются в течение довольно долгого времени.
Выводы
Наш анализ рынка показывает, что злоумышленникам очень легко сдать в аренду PHPMailers для рассылки спама. В любой день доступны тысячи PHPMailer. Их можно сдать в аренду всего за несколько долларов. Это означает, что даже если почтовые программы не работают должным образом, их можно быстро и дешево заменить.
Наши выводы подчеркивают сложность обнаружения и блокировки спама, поступающего в вашу корпоративную сеть. Злоумышленники сдают в аренду виртуальные частные серверы, которые должны иметь довольно высокую репутацию. Они используются или использовались в какой-то момент для размещения блогов и корпоративных веб-сайтов и поэтому выглядят законными. Электронные письма, приходящие с этих серверов, скорее всего, будут считаться безобидными, даже если они могут распространять вредоносное ПО или ссылки на фишинговые сайты.
Наш анализ ставит под сомнение роль услуг веб-хостинга в предотвращении спама. Некоторые веб-хостинговые компании активно отслеживают, что их клиенты делают со своими серверами и подключением к Интернету. Очевидно, что возникнут дебаты о свободе работы без наблюдения со стороны крупных компаний и о свободе, которую Интернет должен был предоставить своим пользователям. Тем не менее, учитывая значительное влияние, которое спам оказывает на большие и маленькие компании, остается вопрос, должны ли службы веб-хостинга быть хорошими гражданами и как можно чаще обнаруживать эти взломанные PHPMailer. Ограниченное количество услуг веб-хостинга также помогает нам понять, насколько небольшие изменения всего в нескольких провайдерах могут иметь большое значение для борьбы со спамом.
Так что же делать вашей компании?
Этот отчет предполагает, что спам, который вы получаете ежедневно, может исходить от виртуальных частных серверов с высокой репутацией. Ваша компания должна узнать у поставщиков услуг фильтрации электронной почты, как обрабатываются такие электронные письма и проводится ли им дополнительная проверка с учетом подозрительного характера их отправителя.
Вы также должны знать, что спам может и будет приходить из всех стран мира, и что серверы не защищены от рассылки спама. Многие считают, что спам в основном исходит с серверов из России и Китая, но следует ожидать, что большая часть спама, создаваемого Olux.io, будет поступать из Соединенных Штатов. Это напоминает нам о том, что любой анализ геолокации на предмет спама, скорее всего, не сильно защитит нас от входящего спама.
Вы также можете включить поток данных для поставщика услуг хостинга в свои системы фильтрации спама, чтобы более внимательно анализировать электронные письма, поступающие от служб хостинга, которые, по всей видимости, становятся жертвами взломанных PHPMailers. Мы определили крупнейших игроков в этой экосистеме, и было бы разумно еще раз взглянуть на электронные письма, которые приходят с веб-серверов этих компаний.
- 95% всех атак, направленных на корпоративные сети, вызваны успешным целевым фишингом.
- Одна целенаправленная фишинговая атака приводит к потерям в среднем 1,6 миллиона долларов.
- 30% фишинговых писем открываются пользователями, и 12% этих целевых пользователей переходят по вредоносной ссылке или вложению.
- Каждый восьмой сотрудник делится информацией на фишинговом сайте.
Злоупотребление библиотекой PHPMailer
PHPMailer, пожалуй, самая старая и самая популярная библиотека PHP для отправки электронных писем. Любой желающий может скачать его с Github и установить за считанные минуты. Библиотека известна своей надежностью и эффективностью. Он также предлагает такие функции, как возможность отправлять электронные письма в формате HTML и не в формате HTML, а также предоставлять подробные сообщения об ошибках, чтобы сообщить о своей деятельности.
Неудивительно, что этот сценарий получил широкое распространение в криминальном подполье. Многие сообщения на подпольных форумах положительно отзываются о библиотеке. Мы находим, например:
Использование почтовой программы SMTP (например, phpmailer) - гораздо лучший и простой вариант, поскольку он дает вам гораздо больше возможностей прямо из коробки.
Скрипт может быть установлен злоумышленниками на взломанный веб-сервер. Ресурсы и репутация сервера затем используются для рассылки спама, предположительно исходящего из законного источника.
Другой вариант - злоумышленники используют уязвимость в установленной версии PHPMailer, чтобы заставить ее рассылать спам . PHPMailer регулярно обновляется для исправления недостатков безопасности, но не всегда своевременно обновляется на веб-серверах. Это открывает важное окно атаки, которым могут злоупотребить злоумышленники.
Аренда PHPMailers
Существуют десятки торговых площадок, которые способствуют продаже множества незаконных товаров и услуг, включая взломанные установки PHPMailer. Мы собрали в течение 10 дней в апреле 2021 года все PHPMailer для аренды на одной такой торговой площадке из трех стран: Канады, США и Франции. Ниже мы представляем наш анализ сдаваемых в аренду PHPMailers . В частности, мы смотрим на профиль поставщиков, а также на профиль взломанных установок PHPMailer.
Профиль продавцов
Некоторые поставщики кажутся более активными на рынке, чем другие. К сожалению, о самих поставщиках известно очень мало, кроме идентификаторов, созданных рынком. Основной продавец, seller26, сдал в аренду около 20% всех инсталляций PHPMailer. Seller165 и seller138 получают по 10% от всех PHPMailer. Таким образом, существует отдельная группа продавцов, которые могут размещать больше PHPMailer, и эта группа состоит из примерно 10 продавцов.
Чтобы рассчитать выручку продавцов, мы сложили цену проданных PHPMailers для каждого продавца. Это дало нам оценку доходов за 9 дней для каждого продавца, которую мы можем использовать для экстраполяции доходов в течение года, если их доходы увеличиваются линейно.
По нашим оценкам, продавцы в среднем зарабатывают всего несколько сотен долларов в год, продавая PHPMailers. Конечно, эти продавцы, вероятно, могут рассчитывать на несколько потоков доходов, поэтому эта цифра не отражает весь их доход. Крупнейший продавец26, вероятно, заработал более 165 000 долларов только на этом рынке. Только 8 других продавцов, вероятно, преодолели барьер в 20 000 долларов. Хотя кажется, что существует корреляция между количеством продаваемых PHPMailers и доходами, эта ссылка не идеальна, поскольку, например, seller115 является вторым по величине получателем, но занимает 5-е место, когда мы подсчитываем количество продаваемых PHPMailers.
Профиль взломанных установок PHPMailer
Когда мы протестировали 5773 PHPMailers, которые мы наблюдали на торговой площадке, мы получили только 2395 тестовых писем. Это предполагает 41% успеха.
Это не означает, что 59% продаваемых PHPMailer являются мошенническими, а это означает, что их нельзя использовать для рассылки спама, если они взяты напрокат. Существует множество причин, по которым электронные письма не доходят до места назначения, и мы, к сожалению, не смогли протестировать каждый PHPMailer более одного раза по техническим причинам. Тем не менее, это то, что нужно учитывать при оценке услуг торговой площадки.
Для каждого PHPMailer мы получили доменное имя сервера, на котором он был размещен. Мы пытались загрузить домашнюю страницу каждого домена, проверяя либо само доменное имя, либо добавляя к нему www, если ничего не было возвращено с первой попытки. В ходе этого анализа мы обнаружили, что на самом деле только 394 веб-сайта были запущены и работали. Это говорит о том, что только 7% PHPMailers запускаются на серверах, на которых фактически размещен веб-сайт, причем большинство из них запускается с веб-серверов, которые, похоже, в настоящее время не используются для размещения веб-сайта. Мы извлекли для каждого содержимое тега заголовка страницы. Слово облако ниже представлены основные слова найдены в названии. Мы замечаем, что WordPress и блог- два наиболее распространенных слова, которые, возможно, указывают на них как на цели злоумышленников. Слово Греция, кажется, преобладает, но это в основном из-за единственной веб-страницы о греческих яхтах и парусном спорте, в названии которой это слово повторяется снова и снова. Еще один интересный вывод - слово « компания», которое предполагает, что многие хостинговые услуги связаны с компаниями, а не с частными лицами.
Наконец, мы вычислили средний возраст PHPMailers, то есть как долго они продавались. Наши данные показывают, что в среднем PHPMailers продаются от 30 дней (Франция, Канада) до 87 дней (США). Более высокий показатель для США можно объяснить более высоким уровнем конкуренции между продавцами и увеличением предложения PHPMailers. Максимальный возраст PHPMailers составляет около 450 дней, что означает, что непроданные PHPMailers остаются доступными на веб-сайте, даже если они, вероятно, больше не работают или не обслуживаются в течение довольно долгого времени.
Выводы
Наш анализ рынка показывает, что злоумышленникам очень легко сдать в аренду PHPMailers для рассылки спама. В любой день доступны тысячи PHPMailer. Их можно сдать в аренду всего за несколько долларов. Это означает, что даже если почтовые программы не работают должным образом, их можно быстро и дешево заменить.
Наши выводы подчеркивают сложность обнаружения и блокировки спама, поступающего в вашу корпоративную сеть. Злоумышленники сдают в аренду виртуальные частные серверы, которые должны иметь довольно высокую репутацию. Они используются или использовались в какой-то момент для размещения блогов и корпоративных веб-сайтов и поэтому выглядят законными. Электронные письма, приходящие с этих серверов, скорее всего, будут считаться безобидными, даже если они могут распространять вредоносное ПО или ссылки на фишинговые сайты.
Наш анализ ставит под сомнение роль услуг веб-хостинга в предотвращении спама. Некоторые веб-хостинговые компании активно отслеживают, что их клиенты делают со своими серверами и подключением к Интернету. Очевидно, что возникнут дебаты о свободе работы без наблюдения со стороны крупных компаний и о свободе, которую Интернет должен был предоставить своим пользователям. Тем не менее, учитывая значительное влияние, которое спам оказывает на большие и маленькие компании, остается вопрос, должны ли службы веб-хостинга быть хорошими гражданами и как можно чаще обнаруживать эти взломанные PHPMailer. Ограниченное количество услуг веб-хостинга также помогает нам понять, насколько небольшие изменения всего в нескольких провайдерах могут иметь большое значение для борьбы со спамом.
Так что же делать вашей компании?
Этот отчет предполагает, что спам, который вы получаете ежедневно, может исходить от виртуальных частных серверов с высокой репутацией. Ваша компания должна узнать у поставщиков услуг фильтрации электронной почты, как обрабатываются такие электронные письма и проводится ли им дополнительная проверка с учетом подозрительного характера их отправителя.
Вы также должны знать, что спам может и будет приходить из всех стран мира, и что серверы не защищены от рассылки спама. Многие считают, что спам в основном исходит с серверов из России и Китая, но следует ожидать, что большая часть спама, создаваемого Olux.io, будет поступать из Соединенных Штатов. Это напоминает нам о том, что любой анализ геолокации на предмет спама, скорее всего, не сильно защитит нас от входящего спама.
Вы также можете включить поток данных для поставщика услуг хостинга в свои системы фильтрации спама, чтобы более внимательно анализировать электронные письма, поступающие от служб хостинга, которые, по всей видимости, становятся жертвами взломанных PHPMailers. Мы определили крупнейших игроков в этой экосистеме, и было бы разумно еще раз взглянуть на электронные письма, которые приходят с веб-серверов этих компаний.
