Comportamentos por protocolo

Observando-se a tabela 4.1, é possível notar alguns elementos interessantes do compor- tamento dos spammers. As máquinas que fazem uso do protocolo SMTP para envio de spam representam alto percentual do total de endereços IP (quase 90%), porém re- tratam um fração baixa do número de mensagens (apenas 15,32%), sendo o protocolo com menor número de spams. Por outro lado, dos 180.262 endereços IP que enviaram spam, apenas 10,42% foram responsáveis por mensagens utilizando o proxy SOCKS, entretanto esses representam cerca de 68% do total de mensagens. Já os transmis- sores utilizando proxy HTTP constituem apenas 2% do total e enviaram quase 17%

do total de mensagens coletadas. Através do número de mensagens por endereço IP, podemos notar que os transmissores utilizando esses protocolos enviaram alto número de mensagens durante o período de 176 dias analisados, sendo uma média de 64 mil mensagens/endereço IP para o protocolo SOCKS e 84 mil mensagens/endereço IP para HTTP, o que representa 43 vezes mais mensagens que aqueles que usaram SMTP. Com isso, é possível concluir que os protocolos SOCKS e HTTP são usados para envio “por atacado” de mensagens, ou seja, enviam um grande volume de mensagens, levando a crer que utilizam infraestrutura específica para disseminação de spam. Já o protocolo SMTP é usado por máquinas que enviam um número menor de mensagens, indicando que esse protocolo é, possivelmente, utilizado por bots.

0 1000 2000 3000 4000 5000 6000 7000 01/05 01/06 01/07 01/08 01/09 01/10 01/11 Número de IP’s Dia SMTP SOCKS HTTP

(a) Endereços IP ao longo do tempo

0 1e+06 2e+06 3e+06 4e+06 5e+06 6e+06 7e+06 8e+06 9e+06 01/05 01/06 01/07 01/08 01/09 01/10 01/11 Número de Mensagens Dia SMTP SOCKS HTTP

(b) Mensagens ao longo do tempo

0 5e+09 1e+10 1.5e+10 2e+10 2.5e+10 3e+10 3.5e+10 4e+10 4.5e+10 01/05 01/06 01/07 01/08 01/09 01/10 01/11 Volume (Bytes) Dia SMTP SOCKS HTTP

(c) Volume (bytes) ao longo do tempo

0 10000 20000 30000 40000 50000 60000 70000 05/01 06/01 07/01 08/01 09/01 10/01 11/01 Número de Bytes Dia SMTP SOCKS HTTP

(d) Tamanho das mensagens ao longo do tempo

Figura 4.1. Dados agregados por protocolo ao longo do tempo.

Uma análise temporal dos dados agregados por protocolo indica comportamentos relativamente estáveis em termos de mensagens enviadas por cada protocolo, conforme pode ser visto na figura 4.1(b). O volume total enviado usando-se cada protocolo, mos- trado na figura 4.1(c), também segue um comportamento bastante semelhante, apesar de uma oscilação maior no período de maio a junho. Já a figura 4.1(d) mostra que o ta- manho médio das mensagens enviadas por SOCKS e SMTP permaneceu relativamente estável durante todos os dias, enquanto as mensagens enviadas por HTTP variaram ao

longo do tempo, com algumas de suas mensagens bem maiores que as demais, principal- mente no início do período, causando a oscilação observada na figura 4.1(c). Conforme mostrado na tabela 4.1, a média de tamanho das mensagens utilizando HTTP é quase duas vezes maior que dos demais protocolos, basicamente devido ao período de maio e junho. Inspecionamos essas mensagens maiores e observamos que elas foram enviadas por apenas 5 endereços distintos e todos provenientes do country code CN, e foram recebidas por todos os honeypots, com exceção do BR-01 e TW-01. Naquele período, BR-01 havia trocado de endereço recentemente e ainda não estava sendo abusado pelos spammers em geral, recebendo mensagens por esse protocolo de apenas 11 endereços distintos. Já TW-01, como discutido posteriormente, tem um comportamento diferen- ciado com relação a tráfego oriundo de CN. Logo, o aparecimento dessas pode estar relacionado a algumas campanhas específicas originadas em CN.

Com relação ao comportamento do número de endereços IP ao longo do tempo, podemos perceber que os protocolos SOCKS e HTTP se mantêm estáveis, com apenas alguns picos em alguns determinados dias para o protocolo SOCKS (fato ocasionado pelo surgimento de novas campanhas, discutido posteriormente). Além disso, esses protocolos apresentam número relativamente baixo de endereços IP a cada dia, sendo em média 155 e 549 para HTTP e SOCKS, respectivamente. Considerando a série tem- poral do número de transmissores que utilizam SMTP, percebemos um comportamento mais variável. Há um aumento do número de endereços IP no fim de maio, seguido por um período de queda, nos meses de junho e julho, e um período instável no mês de setembro. Já no final do período analisado, foi possível perceber uma forte queda na quantidade desses transmissores.

A figura 4.2 apresenta dados sobre a distribuição de mensagens por endereços de origem e por tamanho para cada protocolo, ressaltando as diferenças entre eles. A figura 4.2(a) mostra que os endereços que utilizam protocolos diferentes possuem comportamentos distintos com relação ao número de mensagens enviadas. Enquanto aproximadamente 60% dos endereços IP utilizando SMTP e SOCKS enviaram me- nos de 100 mensagens ao longo dos 176 dias, apenas 25% dos atacantes utilizando HTTP enviam menos que isso. Entretanto, mesmo os protocolos SMTP e SOCKS apresentando características próximas considerando endereços IP que enviaram poucas mensagens, eles se mostram diferentes quando observamos os transmissores que enviam mais mensagens. Ao passo que mais de 20% dos atacantes enviando spam através de SOCKS enviaram mil mensagens ou mais, apenas 5% daqueles que utilizam SMTP dis- seminaram essa quantidade. Além disso, pouco mais de 1% dos transmissores SMTP enviou mais que dez mil mensagens, enquanto cerca de 10% dos SOCKS e 20% dos HTTP ultrapassaram esse valor.

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1 1×100 _1×101 _1×102 _1×103 _1×104 _1×105 _1×106 _1×107 _1×108 P(X < x)

Número de Mensagens por IP HTTP SMTP SOCKS

(a) Número de mensagens por endereço de origem 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1 1×103 _1×104 _1×105 _1×106 _1×107 _1×108 P(X < x)

Tamanho das Mensagens (bytes) HTTP SMTP SOCKS

(b) Tamanho das mensagens

Figura 4.2. Distribuições acumuladas para mensagens por protocolo.

Com relação ao tamanho das mensagens enviadas usando cada protocolo (fig. 4.2(b)), o perfil de 80% das mensagens enviadas por cada protocolo são bastante semelhantes, sendo as mensagens enviadas por SMTP apenas ligeiramente maiores. Entretanto, apenas 3% das mensagens enviadas usando SOCKS tinham mais de 5 KB, enquanto eram 8% e 10% das mensagens enviadas por SMTP e HTTP, respectiva- mente. Já no caso de HTTP, pouco mais de 1,5% das mensagens enviadas com aquele protocolo eram maiores que 100 KB, enquanto apenas 0,4% e 0,2% das mensagens utilizando SOCKS e SMTP, respectivamente, foram maiores que esse valor.

Além disso, apenas uma fração pequena das máquinas utilizou mais de um proto- colo para enviar spam durante o período (a soma dos números de endereços IP distintos que foram observados usando cada protocolo é só cerca de 2% superior ao total de en- dereços distintos). Esses fatores nos permitem afirmar que as máquinas que utilizam cada tipo de protocolo têm comportamentos diferentes, indicando origens (spammers) diferentes:

• máquinas que usam proxies abertos (HTTP e SOCKS) enviam mensagens em grande volume, o que sugere o uso de uma infraestrutura especializada para o envio de spam;

• máquinas que enviam spam usando SMTP tendem a enviar bem menos men- sagens, mas seu conjunto ainda é responsável por uma parcela significativa do tráfego, o que sugere a formação de botnets.