狠狠撸

狠狠撸Share a Scribd company logo

2010 b5 spam source detection at home

?
?
Canaan Kao
Canaan Kao
1 of 45
Spam Source Detection at Home (SSD@Home)(SSD@Home) 報告人:高迦南 博士生 canaan@anti-botnet.edu.tw @t t th d tcanaan@totoro.cs.nthu.edu.tw 研究團隊:研究團隊: 廖宜芳、黃俞嘉、莊淵全 張詠承、陳冠蒼、曾建智 1 張詠承、陳冠蒼、曾建智
Who am I? ? A programmer (寫程式的人). ?C/C++, Win32 SDK, Linux Kernel Programming. ? A CEH. ?(傳說中的駭客好人卡) ? 意外地參與了教育部的 Anti-Botnet 計畫,籌備了 兩屆的 BoT 研討會。 (還有擔任一屆的講員…..) 2 ( )
關於 Anti-Botnet 計畫的一些成果 ? 惡意程式的分析報告 3
關於 Anti-Botnet 計畫的一些成果 ? 原始碼的弱點分析 4
關於 Anti-Botnet 計畫的一些成果 惡意連結列表(由被掛碼站中取出)惡意連結列表(由被掛碼站中取出) 5
關於 Anti-Botnet 計畫的一些成果 B t t IDS l tBotnet IDS rule set 6
關於 Anti-Botnet 計畫的一些成果 ? Spam Source List? Spam Source List. 7
關於 Anti-Botnet 計畫的一些成果 ? 容易被試探的密碼表(通例:密碼不要跟帳號一樣) 8
關於 Anti-Botnet 計畫的一些成果 ? Port Scan 來源記錄 9
關於 Anti-Botnet 計畫的一些成果 ? 長久無惡意動作,或許也可以當成一種黑名單的退場機制 10
關於 Anti-Botnet 計畫的一些成果 ? Bot-like host distribution. 11
關於 Anti-Botnet 計畫的一些成果 12
關於 Anti-Botnet 計畫的一些成果 ? 以上計畫的主要產出: ?目前都可以在網路上取得 ?http://anti-botnet.edu.tw/ ?(以後可能會限制只讓TANet 存取) 1313 ?(以後可能會限制只讓TANet 存取)
大綱 ?1. 關於偵測 SPAM 的兩三事 ?2 一個不小心的發現?2. 一個不小心的發現 ?3. 這次我們不找外星人 ?4. 騰雲駕霧一起來 ?5 討論與結論?5. 討論與結論 14
1. 關於偵測 SPAM 的兩三事 ? 一般來說目前偵測 SPAM 有如下幾種方法: ?比對來源 ?比對內容 ?特徵擷取統計法 ?人腦法 (個人偏見:這是目前最準的方法)( ) ?問題:需要多少$,你才願意幫別人篩選廣告信? ?如果給你很大&免費信箱空間 ?讓這個信箱成為你生活的一部份 ?讓你以為你只是在幫自己過濾廣告信….讓你以為你只是在幫自己過濾廣告信…. – >整個雲端系統超高的 SPAM 偵測率 ?金錢誠可貴,腦力價更高 ?金錢誠可貴 腦力價更高 ? 15
1. 關於偵測 SPAM 的兩三事 ? 從現在的角度看:? 從現在的角度看: ?The Matrix (駭客任務) 的編劇,或許稱得上 “先知” ?Cl d + 人腦 M t i ??Cloud + 人腦 = Matrix ? 16
1. 關於偵測 SPAM 的兩三事 ? 大規模的人腦運算不是每個人都玩得起,我們還是腳踏實大規模的人腦運算不是每個人都玩得起 我們還是腳踏實 地好了 ? ? 在吵了很久之後, 人類終於證明, 先有雞,才有蛋。 ? 同理可證 ?先有 Spam Sourcep ?才有 SPAM ? ? 現在我們大多是先找到? 現在我們大多是先找到 SPAM再反推其來源。 (也常被騙找錯 @ @)(也常被騙找錯 @_@) 17
2. 一個不小心的發現 ? 身為一個 Botnet 的研究人員, ?建置一些 Honeypot (誘餌機)是很正常的事 ? ?一定要錄,有錄有證據。 18
2. 一個不小心的發現 ? 傳說中,壞人在做壞事前,大都會先 Port Scan。傳說中 壞人在做壞事前 大都會先 S ? 有在做 port scan log 分析的人一定會知道, port scan 的 target port 是長尾分佈。主要被掃的 ports 就是那些,g p p 但是尾巴會很長。 19
2. 一個不小心的發現 ? Port Scan Target Port Top 20 (2009/09-2009/12)o t Sca a get o t op 0 ( 009/09 009/ ) ?非 Web Honeypot. ?沒看到 port 25, right??沒看到 port 25, right? 20
2. 一個不小心的發現 ? 但是偶而你會在 raw data 中發現它,雖然它始終進不了? 但是偶而你會在 raw data 中發現它,雖然它始終進不了 前幾大排行榜….. 21
2. 一個不小心的發現 ? 朱自清說:聰明的 你告訴我? 朱自清說:聰明的,你告訴我….. ? 壞人為什麼要掃我的 25 port 呢? ?1. 25 port 有弱點??1. 25 port 有弱點? ?我自己也拿 Nessus 掃掃看好了 ?2 找 Open Rela ??2. 找 Open Relay? ?這年頭應該沒這東西了吧?! ?現在SMTP Server 出廠時預設都是關的阿。 22
2. 一個不小心的發現 ? 於是我們就依照 RFC 821,設計一個最簡單(最假?)的 mail server,我們稱它為 HoneySMTPd。 23
2. 一個不小心的發現 ? 這是簡易的 SMTP 通訊協定 的 狀態轉換圖。 24
2. 一個不小心的發現 ? HoneySMTPd 的主要原始碼不到 1000 行 (in C)。 ?Trust me, You can make it too ? 25
?網路公開版這邊省略 4 pages?網路公開版這邊省略 4 pages. 26
2. 一個不小心的發現 ? 在中華民國境內發送廣告信,應該判什麼罪呢? ?濫發商業電子郵件管理條例,到目前還是”草案”。 ? 就算抓到也告不了你!? ?那是木馬做的! ?不是我!? ?傳說中的木馬抗辯。 27
3. 這次我們不找外星人 ? 在”積極開放、有效管理”的原則之下,我們的 HoneySMTPd 進行選擇性的轉送,只轉送試探信,剩下 的就都只進不出的就都只進不出。 ? 這一招只有當對方要把我們當成? 這一招只有當對方要把我們當成 ? Open Relay 的時候,才會中招。 ?我們還是很善良的 ??我們還是很善良的 ? ?(好人卡不是拿假的) 28
3. 這次我們不找外星人 ? 平均一台 HoneySPTMd 一天大約可以收到 12 萬筆的 受平均一台 yS 一天大約可以收到 萬筆的 受 害者 email address。 ? 下圖是受害者的 email address 分佈, 50.43% 50 00% 60.00% 41.01% 30 00% 40.00% 50.00% 8 56% 20.00% 30.00% 8.56% 0.00% 10.00% Hinet Yahoo Others 29
3. 這次我們不找外星人 ? 關於”有沒有可能那些受害者 email 是假的?”? 關於 有沒有可能那些受害者 email 是假的? ?壞人只是做 “字典式濫發”? ?依照我們拿受害者email 實際去 google ,發現大部分?依照我們拿受害者email 實際去 google ,發現大部分 都查得到。 30
3. 這次我們不找外星人 ? SPAM Log List 31
3. 這次我們不找外星人 ? 廣告信的內容可以作為其它的研究資源。 ?廣告業主的 url、釣魚網站的 url 等等。 32
3. 這次我們不找外星人 ? 平均一台 HoneySPTMd 一天大約可以收到 78 個? 平均一台 HoneySPTMd 一天大約可以收到 78 個 SPAM-bot IP address。 (真實與 HoneySMTPd 接觸者) 33
3. 這次我們不找外星人 34
3. 這次我們不找外星人 ?關於昨天有許多人關注的 botnet traffic 議?關於昨天有許多人關注的 botnet traffic 議 題,如果你用 HoneySMTPd 且有錄 traffic 的話,traffic 的話, ?一台 HoneySMTPd 一天平均可以收集 到 ?120M的 純 SPAM traffic?120M的 純 SPAM traffic ?(之後可以再拿去混合) ?(這年頭要找純的東西不容易了….) 35
36
37
3. 這次我們不找外星人 ? 所以,只要有 HoneySMTPd + 一個 public IP (port 25),開著一天,你就可以得到上述資料。 ?12萬筆 SPAM ?78 個 SPAM bot IP?78 個 SPAM bot IP ?120M pure SPAM traffic ? 比用 SETI@home 找 外星人有成就感 ? 38
4. 騰雲駕霧一起來 ? 從“ Single” Honeypot 到 “Cooperative” Honey Cloud ?概念:整合或建置許多分散在各地的Honeypot ,使之 形成一個 Detection Cloud 達到 Detection as a Service (DaaS) 當單一點被攻擊或是入侵的時候Service (DaaS),當單一點被攻擊或是入侵的時候, 其它的地方就馬上有對應的防禦政策(例如:IDS 的 rule)。rule) 擊尾則首應,擊首則尾應,擊尾則首應,擊首則尾應, 擊中則首尾互應。 39
4. 騰雲駕霧一起來4. 騰雲駕霧一起來 ? Honeypot Log 彙整之流程 40
4. 騰雲駕霧一起來 ?HoneySMTPd 會 Open Source。 ?授權方式如下頁。?授權方式如下頁。 ?索取方式: ?寄封信給講員, 2010/08 之後,會擇期寄出 –(不要跟今天沒來的講)( ) ?建議支持 Honey Cloud , ?啟用 log 自動回送到清大的機制。?啟用 log 自動回送到清大的機制。 ?讓我們集中一起做 Map/Reduce。 41
4. 騰雲駕霧一起來 ?授權模式:?授權模式: ? 限教育部轄下機關 ?依照“教育部資通安全及網路先導應用服務建置補助?依照“教育部資通安全及網路先導應用服務建置補助 要點" ?第八條第三項之規定:?第八條第三項之規定: – 依本要點補助額度為百分之五十以上之案件所產 生之講義、教材或軟體,應授權本部及其所屬機生之講義、教材或軟體,應授權本部及其所屬機 關在教育利用事務範圍內得以無償重製、改作及 利用,並供各級學校師生教學與學習之用。 The Anti-Botnet Project of TANet 42
討論 ? 1. SPAM Source 不是只有 Open Relay 而已。S S 不是只有 p y 而已 ?其它的像 mail server 的帳號密碼被盜等問題? ?尚未在考慮中。尚未在考慮中 ? 2. 萬一試探信改格式,你們要如何處理? ?大家一起改 ??大家一起改 ? ?(沒在怕的~) ? 3 HoneySMTPd 的 IP 洩漏,如何應對?? 3. HoneySMTPd 的 IP 洩漏,如何應對? ?那我們就再換 IP。 ?萬一哪一天壞人不再找 TANet 當 SPAM relay??萬一哪一天壞人不再找 TANet 當 SPAM relay? ?搞不好這也算是好事 ? 43
結論 ? 1. Anti-Botnet Project 有提供些資訊/資源,大 家可以多多利用,並共襄盛舉提供資訊。 ? 2. 偵測 Botnet 並非專家專利,只要有心,大家 可以一起來 ?可以一起來 ? ? 4. HoneySMTPd 有 Open Source。 ?雖然授權比較特別 ??雖然授權比較特別 ? ? 5. HoneySMTPd 可以當成一個教育訓練的材料 (程式碼夠短)。(程式碼夠短) 44
Thanks for your attention ?f y ?Q&A ? As the host of heaven cannot be numbered, neither the sand of the sea measured. Jer33:22J 45

More Related Content

2010 b5 spam source detection at home