| CERT

Introduction

Benkow moʞuƎq, membre du CERT-OPMD, a découvert dans le cadre de ses recherches personnelles, une des plus grandes bases d’adresses mail servant à un spambot. Ce billet a pour objectif de synthétiser les éléments connus à ce jour par l’équipe CERT-OPMD sur le leak, son origine, et son utilisation.

Synthèse du leak

Le leak est composé, d’après Troy Hunt , de 711 millions d’adresses mail uniques, le tout contenu dans une archive de 10Go compressés, et un peu de plus de 36Go décompressés.

On peut trouver plusieurs types d’entrée dans ce leak :

Des adresses mails, sans password. Juste sous la forme compte@domaine.tld, on peut en trouver plusieurs centaines de millions par fichiers. Ce seraient les cibles potentielles

Des adresses mails accompagnées d’un password. D’après les recherches de Benkow, ces adresses et ces mots de passe permettent d’utiliser les serveurs SMTP des domaines concernés pour pouvoir envoyer du spam “authentifié” et qui ne serait donc pas blacklisté.

Des adresses mails accompagnées d’un password et d’une adresse SMTP. Ces informations, plus précises que celles décrites ci-dessus, sont à très forte valeur ajoutée, et permettent le bon déroulement de l’attaque décrite plus haut.

Origine du Leak

Benkow, suite à une longue période de traque, a pu localiser une machine utilisée par ”Onliner Spambot”.
Par chance, le serveur sité au Pays-Bas permettait le directory listing, et l’archive a pu être téléchargée, puis analysée le week-end dernier par Benkow, qui l’a ensuite transmise à Troy Hunt pour alimenter la célèbre base https://haveibeenpwned.com/ .

Qu’est-ce qu’Onliner Spambot

Par le passé, faire du spam relevait d’un jeu d’enfant. Si ce n’était pas un serveur mail mal configuré qui faisait par conséquent de l’open-relay, on tombait facilement sur un serveur mail non mis à jour présentant donc des vulnérabilités facilement exploitables.
Aujourd’hui les choses ont changé. Envoyer du spam devient plus difficile : les FAI bloquent les ports SMTP obligeant donc à faire passer tous les mails par leur MX, les entreprises mettent de plus en plus de moyens de sécurité pour protéger leurs serveurs mails contre une mauvaise configuration ou une vulnérabilité, et les filtres anti-spam sont devenus assez efficaces pour détecter des mails indésirables (grey-list, réputation IP, blacklist, système de scoring…).
De ce fait, est née une nouvelle génération de spambot, qui collecte un ensemble de triplets (adresse email, password, mail serveur) leur permettant ainsi d’envoyer leur spam depuis l’adresse mail de la victime dont les identifiants ont été dérobés. Ce type de spam est très difficilement détectable, tant du côté du serveur mail du compte usurpé que du côté des cibles des spams.
Les spambots utilisent une multitude d’identifiants (adresse email, password, mail serveur) lors des campagnes des spam. Chaque identifiant sera chargé par exemple d’envoyer 20 mails de spams à 20 cibles. Sachant que les spambots disposent de milliers voir de millions de comptes/identifiants smtp, les sender peuvent venir de n’importe où, ce qui permet de bypasser les filtres antispams installés du côté des cibles.
En plus des identifiants SMTP, les spambot utilisent aussi des sites web vulnérables afin d’envoyer des spams avec des outils tels que PHPMailer. Dû au nombre infini de sites web vulnérables qui existe, les spambot ont toujours un large choix pour leur base arrière leur permettant d’envoyer du spam, provenant de multiples IP à la fois.

Comment ont-ils pu collecter autant de data ?

Comme le soulève Troy Hunt, 27% des adresses emails contenues dans le leak étaient déjà présentes dans la base de https://haveibeenpwned.com/ .
On peut alors émettre l’hypothèse que ce leak est un mélange à la fois de leak précédents comme LinkedIn, mais aussi de nouvelles données créées par le malware Ursnif, un trojan bancaire comportant un module chargé d’envoyer des spams, mais aussi un module chargé de créer d’importantes listes de comptes SMTP.

Les malwares susceptible d'être liés à ce spamlist

D’après les recherches de Benkow, le malware Ursnif semble être directement lié à cette spamlist.
Ursnif est un malware qui aurait servi à générer une grande partie de cette liste, mais c’est aussi et avant tout un trojan bancaire.
Les IOC liés à ce malware sont présents ici .

Conclusion

En un mot : chapeau-bas Benkow