Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

Analyse des Spam Images


Les images de spams, pour éviter la détection basée sur le texte du mail


Depuis plusieurs années, le Spam est toujours à la mode. D'après nos statistiques, environ un mail sur deux est un Spam. Pourtant, les outils actuels ont un très bon taux de détection de Spam. Cependant, parmi tout ces pourriels, il existe une catégorie à part. Ce sont les "Spam Images".

Qu'est-ce qu'un Spam Image ?


Un Spam Image est un courrier, avec très peu de texte, et incluant une image. Cette image représente un texte, souvent à but commercial, comme le montre l'image suivante :

Le texte de l'image est donc la continuité commerciale du texte de l'email.

Comment détecter et contrer un Spam Image ?


A l'heure actuelle, trois pistes sont envisagées : Voici en détail les trois solutions :

La méthode d'antispam classique


La détection du spam par un logiciel tel que Spamassassin est très faible. En effet, l'antispam ne peut s'appuyer que sur les zones texte de l'email (header et contenu textuel). Or, ceux-ci sont justement calibrés afin d'éviter de se faire reconnaitre comme spam. Voici un exemple :

Mail original
Explications
Return-Path: <xxxxxx@xxxxxxxx.com> L'adresse email de réponse
X-Spam-Checker-Version: SpamAssassin X.X.X on toto
X-Spam-Level: ***
X-Spam-Status: No, score=3.5 required=5.0 tests=DATE_IN_FUTURE_03_06, EXTRA_MPART_TYPE, HTML_IMAGE_ONLY_16, HTML_MESSAGE autolearn=disabled
SpamAssassin n'a pas réussi à détecter le spam
Delivered-To: webmaster@securiteinfo.com Ca c'est moi :)
Received: (xxxxxxxx); 8 Oct 2006 02:46:56 -0000
Delivered-To: securiteinfo.com-webmaster@securiteinfo.com
Received: (xxxxxxxx); 8 Oct 2006 02:46:55 -0000
Received: from xxx.com (HELO xxxxxxxx) (xxx.xxx.xxx.xxx)
by xxxx.com with SMTP; 8 Oct 2006 02:46:55 -0000
Received: (xxxxxxxx); 8 Oct 2006 02:46:59 -0000
Received: from xxxxxxx@xxxxxxxxx.com by xxxxxxx
Received: from unknown (HELO xxxx.de) (217.93.13.216)
by xxxx.com with SMTP; 8 Oct 2006 02:46:51 -0000
Message-ID:
L'adresse IP qui m'a envoyé ce spam est 217.93.13.216. Après une courte recherche, cette adresse IP provient d'Allemagne et est fournie par un grand FAI allemand. Bref, il s'agit donc d'un internaute lambda, comme vous et moi. Il y a de grandes chances que cet internaute aie un PC infecté par un malware, et que ce spam soit envoyé à son insu.
From: "xxxxxxxx:" <xxxxxx@xxxxxxxx.com>
To: webmaster@securiteinfo.com
De qui, pour qui
Subject: NCC Chief Le sujet du mail est donc "NCC Chief"
Date: Sun, 8 Oct 2006 04:46:49 -0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0010_01C6EA94.C40D1950"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2869
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962
X-UID:
Status: RO
X-Status: RT
Diverses informations sans grand intérêt
------=_NextPart_000_0010_01C6EA94.C40D1950
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0011_01C6EA94.C40D1950"

------=_NextPart_001_0011_01C6EA94.C40D1950
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

Talks fair am play fans.
Fareed Zakaria Obsessed With sex Opinions.
Reality shows.
Press Navy Defeats air Force Ncaa see of top?

Kills almost people day Army quest stop it Miss.
Religion thanks authors like is?
Yearlong series explore means am.
Best worst just plain weirdest wedding in reality shows.
American Hardcore pmthe Chat in House Career or Track a Live pmtalk end =20
in of Extra Stuff.
Ad Sections Education Bargains Area of Yellow White Pages Business =20
Person in Featured Tickets Ravens.
By current staffer supports former Foley aide Kirk Fordhams claim that =20
of!
Mars a Rover Photos Black Women.
Reborn.
Froomkin White Briefing postblog.
Critics Picks tip.
Michael.
Talks fair.
High Lose in Points in.
Moves Estate Sell in Recent Sales R
Le texte de l'email

Comme vu ci-dessus, SpamAssassin n'a pas remarqué que ce mail était un Spam. Les seuls critères détectés sont : Si l'on s'en tient à ces quatre caractéristiques, HTML_IMAGE_ONLY_16 pourrait avoir un score augmenté afin de détecter ce type d'email. Malheureusement, cela risque de provoquer beaucoup de faux positifs, car je suppose que vous aussi vous avec quantité d'amis qui vous envoient des images drôles avec très peu de texte...

Une autre caractéristique intéressante est l'adresse IP d'envoi du Spam. Celle-ci pourrait être blacklistée. Malheureusement, l'adresse IP en question est celle d'un internaute lambda, qui a certainement une adresse IP dynamique à la connexion. La blacklist d'adresses IP n'offre donc pas de garantie suffisante contre ce type d'envoi de mails.

Le calcul d'une somme de contrôle


Une solution qui vient rapidement à l'esprit est d'utiliser une fonction de hachage. Ainsi, en calculant une somme de contrôle unique pour chaque image, il est possible de créer une liste noire (blacklist) de fichiers indésirables.
Le problème c'est que cette somme de contrôle est unique par image. Il suffit donc de modifier un seul bit dans l'image pour que cela donne une autre somme de contrôle et donc, de ne plus détecter la nouvelle image.
Voici deux exemples concrets :

Insertion de parasites de type "points" dans l'image :




Insertion de parasites de type "traits" dans l'image :




Insertion d'un rectangle de points aléatoires (en bas à gauche) :



Cette solution n'est donc pas très viable à long terme : Beaucoup de travail pour un maigre résultat. Ce sera une fuite en avant telle que c'est déjà le cas avec le couple virus/antivirus.

La reconnaissance de caractères


Une autre solution serait de passer l'image dans un logiciel de reconnaissance de caractères, et de renvoyer le résultat à notre logiciel antispam favori. Seulement, là encore, les auteurs des Spam Images ont prévu le coup. Comment se comportera un logiciel de reconnaissance de caractères face à ces types d'images :

Image animée :



Image avec faible contraste (la détection des bords, nécessaire à un logiciel de reconnaissance de caractères, est difficile) :




Image avec fontes exotiques :




Image avec langue exotique :



Là aussi, cette solution, sans parler du temps de traitement accru pour analyser chaque image, ne semble pas être très efficace.

Conclusion


Ce nouveau type de pourriels va redonner du fil à retordre aux acteurs de Sécurité. Comme nous l'avons vu, deux techniques de contre-mesure sont appliquées, mais n'ont qu'un taux très faible de succès. La meilleure méthode reste donc la sensibilisation des utilisateurs :

Arnaud Jacques
24 Octobre 2006

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...
Facebook SecuriteInfo.com
Twitter de SecuriteInfo.com
Github de SecuriteInfo.com
Calculs scientifiques distribués contre les maladies, équipe SecuriteInfo.com
Profil Virustotal de SecuriteInfo.com
© 2004-2018 - Tous droits réservés - SecuriteInfo.com