linux user group brescia

2011/6/16 Andrea Gelmini <andrea.gelmini a gmail.com>

> Il 15 giugno 2011 15:04, Rampage * <atomikramp a gmail.com> ha scritto:
> > Gelma? sicuramente tu ci hai smanettato in passato ^^
> >
> > chiunque abbia dei suggerimenti da darmi è il benvenuto nella discussione
> :)
>
> Bho, servirebbero piu' indicazioni precise sui risultati che vuoi
> ottenere, comunque ti racconto
> le possibilita' che con il tempo ho giocato:
> a) metti in ascolto sulla 25 di un IP un servizio simil MTA che
> accetta tutto.¹ Ocio, che è un attimo che ti saturano banda/storage.
> Diciamo che la controindicazione è che gli spammer piu' stupidi si
> attaccano a mandare lo stesso messaggio in quantita' industriale (a me
> è capitato di fare 3GB di mail in meno di un quarto d'ora, tutte
> uguali, e tutte allo stesso destinatario, dallo stesso IP). Quelli
> intelligenti mandano un po' di mail a cazzo, e controllano l'avvenuta
> ricezione per valutare se si tratti di un open relay vero;
> b) ti mappi su un tuo IP i domini dinamici non piu' usati (sfrutti
> google, magari con la funzione timewheel, e un po' di query DNS). Per
> esempio, non è piu' possibile sfruttarlo, ma gelma.ath.cx era un
> dominio spamtrap;
> c) ti crei degli indirizzi email legati a tuoi domini veri, e li fai
> girare in modo che se li piglino solo gli spammer. Banalmente,
> pubblichi gli indirizzi sui rami di test di Usenet, oppure li piazzi
> nel codice di qualche pagina web (questo viene fatto, per esempio,
> negli archivi della mailing list del lug);
> d) sfrutti indirizzi di GMail, Yahoo!, ecc, per fare quanto ti ha
> suggerito gia' Claudio. Vale la stessa idea di propagazione;
> e) gia' che ci sei puoi partecipare a http://projecthoneypot.org/
>
> Viene poi la parte piu' interessante, ovvero l'analisi del tutto.
> Ora, su spam e phishing c'è poco di interessante, sul malware invece
> si possono imparare delle cose interessanti.²
>
> Volendo puoi anche saltare tutta la parte sopra, e passare
> direttamente ai malware.³
>
> Ciao,
> Gelma
>
> ---------------------
> ¹ In postfix trovi questo (con le opzioni che usavo all'epoca):
>  smtp-sink -4 -c -d "%Y%m%d%H%M." -u check -R
> /home/gelma.net/check/SpoolSpam/new/ -h lugbs.linux.it 25000 512
> ² http://www.gianniamato.it/2010/11/malware-analysis-a-case-study.html
>  Il blog di Gianni è interessante anche sul resto.
> ³
> http://www.oversecurity.net/2010/08/09/honeypots-rilascia-una-raccolta-di-malware-per-studiarli/
>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>

Ciao,

grazie per le dritte.. il blog di gianni amato già lo seguo, anche quello di
Nanni bassetti è molto interessante, e anche XyliBox:
http://xylibox.blogspot.com/ se ti interessa l'argomento.

io più che altro faccio analisi "comportamentale" non ho lo sbattimento (e
il tempo) di mettermi lì con IDA o OllyDBG per debuggare i binari, però
sandboxo, metto sniffer di rete, rintraccio i C&C e cose di questo genere.
e da quel punto di vista anche il phishing è interessante se analizzato a
fondo si scoprono molte cose, c'è chi combatte delle vere e proprie
crociate, come Denis Frati, e chi invece come me, si diletta semplicemente a
ficcare un po' il naso e fare un po' di backtracing for fun.

tra l'altro è scandaloso scoprire come chi coda malware, o chi realizza siti
di phishing, lo faccia davvero coi piedi, per certi aspetti :)

Francesco
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20110616/7ec1ba63/attachment-0001.html>