A18 スパムサーバの調査～ボットを見抜けるか？～

Slides:

Advertisements

Similar presentations

Iptables の設定と動作確認方法野口哲. 1. はじめに近年では、ウイルスなどでネットワーク上の近年では、ウイルスなどでネットワーク上の危険が非常に多くなっている。また、個人情報などを入手するために不正に他人のパソコンに侵入する人なども増えている。本研究では、このような被害を受けないようにするため.

Advertisements

インターネットサーバとメール配送の仕組み情報実験第 13 回 2005/01/28 Last Modified: 2005/01/28K.Michimasa Original: 2004/01/30K. Komatsu.

1 会社名：氏名：日付：会社名：氏名：日付：. 2 内容企業のセキュリティ対策状況ユーザー管理の重要性ユーザー管理製品市場状況 Active Directory とは Active Directory 利用に最低限必要な準備ユーザー管理のご提案内容最初の取り組み：ユーザー情報の統合管理.

Samba日本語版の設定と運用のノウハウ応用編

Global Ring Technologies

下藤　弘丞 SecureWeblogの構築.

SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL

SOHOシステムの構築と運用東北NTユーザ会新潟勉強会資料.

目次メール配送の仕組みメールの構造メール利用の際の注意メールに関するセキュリティ.

スキルチェック Unix編.

受動的攻撃について Eiji James Yoshida penetration technique research site

Ibaraki Univ. Dept of Electrical & Electronic Eng.

Ibaraki Univ. Dept of Electrical & Electronic Eng.

安全・安心なネット生活を送るためのネットワークセキュリティ

ISDASインターネット分散観測：ワームの平均寿命はいくらか？

Zeusの動作解析 S08a1053 橋本　寛史.

ネット時代のセキュリティ２（脅威の例）２ＳＫ　情報機器工学.

キャンパスクラウドによる実験環境の構築情報ネットワーク特論講義資料.

Step.4 基本IPネットワーク PC 1 PC 2 PC 3 PC

「コンピュータと情報システム」 07章インターネットとセキュリティ

[オンライン学習に登録] [情報ネットワークを安全に利用しよう]

第５章情報セキュリティ（前半）［近代科学社刊］

情報コミュニケーション入門総合実習（１）基礎知識のポイント（２）

鯖管のすヽめ.

B4向け研究紹介 MTAにおけるspamメール判別方法

ネットワークセキュリティグループ　J

サーバ負荷分散におけるOpenFlowを用いた省電力法

Ibaraki Univ. Dept of Electrical & Electronic Eng.

セキュリティ（５） 05A2013 大川内　斉.

情報セキュリティ - IT時代の危機管理入門 -

Linux リテラシ 2006 第4回ネットワーク CIS RAT.

ネットワークアプリケーションとセキュリティ

第7回ネットワークプログラミング中村　修.

情報の科学的な理解（2）情報科教育法　8回目 2005/6/4 太田　剛.

ＤＮＳトラフィックに着目したボット検出手法の検討

ウイルスについて I98N044 久野耕介 I98N114 藤田和久

7. セキュリティネットワーク（ファイアウォール）

パケットキャプチャーから感染種類を判定する発見的手法について

セキュリティ（６） 05A2013 大川内　斉.

サイバーセキュリティバッファオーバフロー

LEGO MINDSTORMの車両の PCによる遠隔操縦

セキュリティ 05A2013 大川内　斉.

キャンパスクラウドによる実験環境の構築情報ネットワーク特論講義資料.

Webサーバとクライアント接続要求ＧＥＴ・・接続状態ＨＴＴＰ・・ Webサーバ

ＶＩＲＵＳ.

ネットワークプログラミング（５回目） 05A1302 円田　優輝.

Ｒ１２マルウェアの連携感染パターンの自動検出方式

Step.1 LinuxとIPコマンド ifconfig [-a] [インタフェース名] arp [-n]

ネットワークプログラミング（３回目） 05A1302 円田　優輝.

メールの仕組みとマナー.

サーバ・クライアントシステム（ X Window System） 2006/01/20 伊藤和也 original: 前坂たけし

C11: 不正アクセスパケットの可視化シャボン

マルウェアの通信履歴と定点観測の相関について

ウィルスってどの位感染しているのかな？菊池研究室　　小堀智弘.

後藤滋樹研究室の紹介現在のインターネットの課題敵を知り、己を知れば、百戦危うからず（孫子） 1

不正アクセスパケットの地図上での可視化菊池研究室畠山俊樹.

ボットネットはいくつあるか？ダウンロードログからの線形独立な基底数

gate登録システム：設計ポリシーから使い方まで

福岡工業大学情報工学部情報工学科種田研究室于聡

CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマバージョン対応)

ネットワークプロトコル.

ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発

異種セグメント端末による分散型仮想LAN構築機構の設計と実装

迷惑メールは発信時刻を偽るか？菊池研究室鈴木　孝彰水沼　暁.

ボットネットの国別マルウェア活動時間なぜインドからの攻撃は日本時間で行われるか？

アプリケーションゲートウェイ実験２００１．１０．５鬼塚　優.

SMTPプロトコル 2001年8月7日龍　浩志.

P2P & JXTA Memo For Beginners

ソケットの拡張によるJava用分散ミドルウエアの高信頼化

Presentation transcript:

A18 スパムサーバの調査～ボットを見抜けるか？～菊池研究室遠藤武史

スパムメール問題 IPA発行“情報セキュリティ白書2009” 掲載の10大脅威のうち、利用者の脅威に第3位減らないスパムメール

ボットの脅威第1位多様化するウイルスやボットの感染経路ウィルスやトロイの木馬を使い、一般ユーザのPCへ不正に侵入しゾンビPCとして操作する。ゾンビPCのネットワークをボットネットと言う。ゾンビPCの利用者は不正利用に気づきにくい。ボットはスパムメールの送信やDDoS攻撃をするリソースとして使われる。

スパムメールの送信法法スパム送信者がコンピュータからメールサーバに接続し、メールサーバがスパムを送信する。送信サーバ受信サーバ中継サーバ

ボットによるスパム送信スパム送信者がボットを用いて一般のPCに不正に侵入し操作する。ＰＣ上に送信用の簡易メールサーバを構築しスパムメールを送信する。受信サーバ

ボットにより送られるスパムの特徴スパム送信に一般のＰＣを利用するのでＯＳがWindows95,98,ME,XP,Vista 送信機能しか持たないメールサーバ SMTPのメール受信はできないメールヘッダの送信者情報は改ざんされている可能性がある

研究目的ボットによるスパム送信が本当に行われているのだろうか？定義：スパムメールの転送経路にWindows95,98,ME,XPでサーバ機能を有していないホストがあればボットである。スパムメールからボットを使ったメールを見抜くことができるか調査する。

メールヘッダ Return-Path: <fsrxthiltz@mail.com> Delivered-To: hyperion@drossel.cs.dm.u-tokai.ac.jp Received: from mta144.mail.tnz.yahoo.co.jp (mta144.mail.tnz.yahoo.co.jp [203.216.244.210]) by drossel.cs.dm.u-tokai.ac.jp (Postfix) with SMTP id D4CFD4A50043 for <hyperion@drossel.cs.dm.u-tokai.ac.jp>; Mon, 3 Aug 2009 23:16:35 +0900 (JST) Received-SPF: none (203.216.247.181: domain of fsrxthiltz@mail.com does not designate permitted sender hosts) Authentication-Results: mta144.mail.tnz.yahoo.co.jp from=mail.com; domainkeys=neutral (no sig) Received: from 61.48.71.52 (HELO 203.216.247.181) (61.48.71.52) by mta144.mail.tnz.yahoo.co.jp with SMTP; Mon, 03 Aug 2009 23:11:22 +0900 Received: from 144.185.57.214 by 203.216.247.181; Tue, 04 Aug 2009 13:17:27 -0100

実験方法受信したスパムメールから転送サーバのIPを抜き出す。抜き出したIPに対して 1.PING 2.NMAPによるOS判定 3.SMTPコネクションでサーバ判定を行う。

NMAPによるOS判定ポートスキャンソフトのひとつ相手の通信ポートの情報を手がかりに相手のOSを判定する機能を持つ。 OS判定の結果Windows95,98,ME,XPのIPはボットとみなす。リリースバージョンによりVistaはWindowsServerと判定されてしまう

SMTPコネクション調査IPの25番ポートにSMTPのコネクションを行い、メールサーバの機能があるか調べる。

実験内容メール収集期間：8月２～７日メール転送サーバのIPアドレスにPING、NMAP、SMTPコネクションを行い一般PCか調査する。

結果 OS判定の結果372件中 Windows Serverが10件、Windows95～XPが2件 Windows95～XP,2 Linux, 22 その他, 35 69件 8月 Windows Server,10 検査月 10月 Linux, 19 その他, 20 44件 Windows Server,5 0% 20% 40% 60% 80% 100% OS比率[%]

詳細１回目にWindowsクライアントと判定された２件の２回目の結果との比較調査IP 調査時 PING OS SMTP 83.242.*.* 1回目可 Windows95～XP Time Out 2回目否 N/A 221.221.*.* Windows XP SP2

考察固定IPではないWindows95～XPでサーバ機能を有していない結果が2件だった。 Windows Serverと判定された結果の中にボットが存在した可能性がある。システムに手動部分が多く、件数が増えるとタイムラグが発生するのでリアルタイム性が損なわれる可能性がある。

結論 2件のボットスパムを発見できた。今回は手動実験だったが実験を自動化できればさらに増える可能性がある。

終ご静聴ありがとうございました

システム概要１ ls -c -1 到着時間でソートしたファイルリスト抽出し終わったメールを old ディレクトリに移動手動 tmpbatch.sh ls -c -1 sh tmp.sh ファイル名・・・ tmp.shへ tmp.shで抽出し終わったメールを old ディレクトリに移動手動

システム概要２ファイル名.tmp From: ～ To: ～ tmp.sh Received From: ～・・・手動 sh sh.sh From To ReceivedIP sh.shへ Shbatch.sh

システム概要３ Ping sh.sh Nmap メールサーバ main.sh IP_実行時刻.log SMTP From: ～ telnet.sh メールサーバ SMTP Ping Nmap From: ～ To: ～ Received IP: ～実行時刻 Ping 結果 Nmap 結果 SMTP 結果 IP_実行時刻.log 終了