Snowshoe fait référence aux raquettes utilisées pour marcher sur la neige sans s’enfoncer et en laissant le moins de traces possible. Par analogie, un Snowshoe spammeur va tenter de laisser l’empreinte la plus légère possible pour ne pas se faire repérer par les systèmes de sécurité. Si le terme « Snowshoe Spam » est apparu pour la première fois il y a environ deux ans, il semble qu’il soit maintenant repris par de nombreux éditeurs. Tour d’horizon.
Concrètement, le Snowshoe spam qu’est-ce que c’est ?
Une campagne de Snowshoe spam est caractérisée par :
- une attaque de courte durée ;
- des envois provenant d’un grand nombre d’adresses IPs différentes ayant une réputation neutre ou inconnue (on parle parfois de Rotating Domain type spam) ;
- un volume relativement réduit de messages envoyé par chaque adresse d’émission ;
- une ressemblance avec des e-mails légitimes mais avec un composant aléatoire (contenu, objet, nom de pièce jointe) destiné à tromper les moteurs anti-spam ;
- l’utilisation de domaines de messagerie fantaisistes ;
- un message contenant un élément destiné à piéger le destinataire (lien URL ou pièce jointe).
On peut trouver quelques exemples de campagnes de Snowshoe spam dans ce document produit par Symantec : Global spam landscape : Snowshoe spam
Comment se protéger du Snowshoe Spam ?
Disons le tout de suite, il est difficile de se protéger de ces campagnes sans une solution de relai sécurisé moderne. Du fait du faible volume de spam provenant d’une adresse Ip ou d’un même domaine, les Realtime Blackhole List, ou RBL (liste d'adresses IP d'expéditeurs potentiellement à l'origine de spam) ne sont pas immédiatement efficaces contre le Snowshoe spam, sauf si le spammeur utilise des adresses appartenant à une même classe (par exemple si les adresses appartiennent toutes à un même /24).
Il faut donc s’en remettre aux moteurs d’analyses avancés ayant la capacité d’analyser les URLs contenues dans les messages, ou à des moteurs d’analyse comportementale, voire à des Sandbox. Autre possibilité, retenir les messages suspects pour un second scan ultérieur, le temps que les RBL soient mis à jour. Cette solution est à double tranchant car elle peut retarder la délivrance de mails légitimes mais semble efficace. Selon une étude de Sophos, dans le cas d’une campagne de Snowshoe spamming, 92 % des mails suspects mis en attente et qui n’avaient pas été identifiés comme spam lors d’un premier examen l’ont été lors d’un second scan.
Quant à l’analyse manuelle, même si elle permet souvent de valider le spam de façon assez certaine, elle reste très couteuse et souvent peu appropriée pour ce genre de spam.
Philippe
Pour aller plus loin
Orange Cyberdefense protège vos essentiels
Pour tout savoir sur les tendances 2016 de la cyberdéfense
BountyFactory : que penser des centrales de chasse aux failles de sécurité ?
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.