Les réseaux de zombies sont des réseaux de machines compromises qui sont sous le commandement et le contrôle d’une entité – le maître du réseau de zombies. Ils sont généralement utilisés pour des crimes tels que les attaques par déni de service, le vol d’identité, l’hameçonnage et, le plus souvent, l’envoi de pourriels. Les réseaux de zombies actuels ont des interfaces HTML faciles à utiliser et peuvent être loués par les spammeurs pour leurs diverses campagnes de spam. Les chercheurs ont rapporté qu’en 2008, 85% des pourriels ont été générés par six réseaux de zombies (Mega-D, Srizibi, Storm, Rustock, Pushdo et Cutwail).
Un botnet de spam typique consiste en le maître du botnet qui envoie des commandes aux serveurs de contrôle qui, à leur tour, envoient divers fichiers à leurs listes de bots ainsi que des instructions à exécuter. Le niveau de sophistication qui a été atteint est vraiment remarquable. Par exemple, le processus de spamming peut être effectué en collaboration entre des robots effectuant différentes tâches, certains fonctionnant comme collecteurs de spam tandis que d’autres comme générateurs de spam. Certains robots agissent comme des serveurs de contenu tandis que d’autres comme des serveurs SMTP. Une campagne de pourriel (charge de travail) comporte au moins trois éléments : des modèles de messages, une liste d’expéditeurs et une liste de destinataires. Les robots spammeurs les utilisent pour produire de grandes quantités de pourriels.
Un flux de courriel légitime typique consiste en un client (Mail User Agent ou MUA) qui se connecte, via SMTP, à un serveur (le Mail Transfer Agent ou MTA) pour transférer un message. Le MTA organise la livraison en le transférant (ou en le relayant) à un autre MTA (encore une fois par SMTP) où le deuxième MTA est généralement le serveur d’échange de courrier (MX) du destinataire. Enfin, le destinataire reçoit le courrier du serveur MX par POP, par exemple. Les pourriels générés par les réseaux de zombies ne suivent pas cette voie. La source du pourriel doit rester anonyme pour éviter d’être mise sur liste noire.
Les méthodes de transmission de pourriels se déclinent généralement en trois versions : relais ouverts, proxys ouverts et directs vers MX. Les relais ouverts sont des serveurs SMTP qui acceptent les demandes de relais de n’importe quelle source vers n’importe quelle destination. C’était la méthode la plus courante utilisée par les spammeurs, mais de nos jours, les serveurs de messagerie sont configurés pour avoir des relais ouverts désactivés par défaut. Les spammeurs configuraient donc l’un de leurs robots pour qu’il devienne le relais ouvert, mais en raison des pratiques des FAI qui gèrent le port 25 (comme le recommande le MAAWG, où seuls les clients autorisés sont autorisés à se connecter à partir des hôtes du FAI), les relais ouverts sont maintenant rarement utilisés dans les pourriels d’aujourd’hui.
Un proxy ouvert est un serveur qui permet d’établir des connexions de n’importe quel client à n’importe quel serveur sur n’importe quel port. Ceux-ci peuvent être utilisés par les robots spammeurs pour blanchir leur trafic de pourriels. Cependant, comme pour les relais ouverts, avec de bonnes pratiques, les FAI disposant de serveurs de messagerie entrants et sortants distincts peuvent bloquer le trafic de pourriels provenant des proxys, même pour les proxys ouverts dans le domaine du serveur MX (Proxylock). Les listes de proxys ouverts sont généralement téléchargées à partir des serveurs de contrôle.
Les méthodes directes vers MX impliquent que les robots se connectent directement au serveur MX des domaines destinataires. Cela se fait en effectuant des requêtes DNS pour l’enregistrement MX afin d’obtenir les adresses IP des serveurs MX. Les botnets plus intelligents permettent de gagner du temps de recherche en téléchargeant des listes qui sont maintenues et mises à jour par les contrôleurs. La livraison directe est devenue la méthode préférée pour spammer les réseaux de zombies malgré le risque que l’adresse IP du robot spammeur soit mise sur liste noire. Si le FAI du spambot gère le port 25 (comme le recommande MAAWG), il peut contrer ce type de trafic.
Le contenu de ce blogue est un résumé d’un excellent article qui a été présenté à la Conférence sur les pourriels 2009. Vous trouverez ci-dessous un lien vers l’article qui va plus en détail. J’ai également inclus un lien vers la recommandation du MAAWG pour la gestion du port 25. Une recommandation, si elle est suivie avec diligence par tous les FSI, pourrait éliminer les pourriels de réseaux de zombies.
