O valor das listas de bloqueio de hash

Listas de bloqueio de domínio e IP (DNSBLs) são bastante eficientes na filtragem de e-mails maliciosos. Contudo, elas têm uma grande limitação: como bloquear um e-mail enviado de uma conta comprometida do Gmail, Hotmail ou outro provedor de serviço de e-mail (ESP)?

Você não pode bloquear todos os e-mails desses ESPs. Mas, criando um hash de uma conta de e-mail comprometida, os e-mails da conta infectada podem ser bloqueados, protegendo também a privacidade do dono da conta. Essa abordagem pode ser expandida para atender a outras áreas problemáticas.

O que é uma lista de bloqueio de hash?

Em termos simples, uma lista de bloqueio de hash (HBL) é uma lista de hashes criptográficos derivados de conteúdo malicioso. A ++HBL da Spamhaus++ foi desenvolvida para ser expansível, ou seja, subconjuntos da lista podem detalhar diferentes áreas de conteúdo malicioso. Endereços de e-mail comprometidos, carteiras de criptomoeda e arquivos de malware estão incluídos na HBL da Spamhaus. Vamos analisar essas áreas em mais detalhes.

Como bloquear e-mails de contas comprometidas que pertencem a grandes provedores de serviços de e-mail?

Vamos imaginar que a conta de Gmail de Vicky foi comprometida. Um invasor pode usar as credenciais de Vicky para enviar uma mensagem de e-mail vinda diretamente de Vicky. Os “˜hooks” habituais usados em sistemas de reputação de e-mail não funcionarão porque a mensagem está vindo do servidor do Gmail, que é um servidor legítimo que fornece serviços a milhões de pessoas. Analisar a reputação do endereço IP de envio não ajudará, nem o domínio de envio.

Entretanto, quando a Spamhaus classifica uma conta de e-mail como comprometida, nós associamos um hash àquele endereço de e-mail específico. Isso permite que os usuários consultem a HBL e bloqueiem e-mails que se originem da conta de e-mail invadida, que, do contrário, teriam passado despercebidos.

Como funciona uma lista de bloqueio de hash de malware?

Semelhante a um endereço de e-mail malicioso, quando observamos um arquivo associado a um malware, atribuímos um hash criptográfico ao arquivo. Assim, mesmo que nenhum IP ou domínio malicioso possa ser associado à mensagem de e-mail contendo o arquivo de malware, você pode fazer uma consulta pelo hash na HBL de malware no contexto “arquivo”. Os códigos de retorno da HBL da Spamhaus indicarão uma destas duas situações:

1. Se malicioso: aqui, o arquivo consultado foi analisado pela Spamhaus Malware Labs e reconhecido como um malware conhecido. A família de malware também é indicada no registro de retorno.
2. Se malicioso: aqui, o arquivo consultado foi observado em spam, e sua natureza o torna suspeito. Enquanto a Spamhaus Malware Labs não confirmar sua malignidade, o arquivo deve ser tratado com extremo cuidado.
   .

Um arquivo de malware pode ter um hash associado a ele e ser listado na HBL de malware em apenas 30 segundos a partir de sua detecção. Isso é resultado dos métodos ágeis de disseminação e da coleta avançada de nossos pesquisadores.

Como funciona uma lista de bloqueio de hash de carteira de criptomoeda?

Pense nos e-mails de scam “sexextorcivo”, tão predominantes hoje em dia. Você sabe quais são… eles se parecem com o e-mail abaixo:

O e-mail sexextorcivo inclui um endereço de bitcoin para o qual a vítima deve enviar o dinheiro. Mesmo que o e-mail enviado não dispare uma rejeição baseada na reputação do domínio ou IP, o endereço de bitcoin pode ser usado para determinar se o e-mail é de natureza maliciosa e resultar no bloqueio do e-mail.

Possibilidades sem fim

Praticamente tudo o que pode ser extraído de uma mensagem de e-mail pode ser marcado com hash. Esses dados são usados para criar uma nova sublista, aumentando assim o número de hooks de reputação disponíveis para você. A HBL da Spamhaus ajuda softwares de filtragem e postmasters a identificar e bloquear ameaças emergentes agora e, devido à sua natureza expansível, também no futuro.