Presentation is loading. Please wait.

Presentation is loading. Please wait.

A18 スパムサーバの調査 ~ボットを見抜けるか?~

Similar presentations


Presentation on theme: "A18 スパムサーバの調査 ~ボットを見抜けるか?~"— Presentation transcript:

1 A18 スパムサーバの調査 ~ボットを見抜けるか?~
菊池研究室 遠藤武史

2 スパムメール問題 IPA発行“情報セキュリティ白書2009” 掲載の10大脅威のうち、利用者の脅威に 第3位 減らないスパムメール

3 ボットの脅威 第1位 多様化するウイルスやボットの感染経路
ウィルスやトロイの木馬を使い、一般ユーザのPCへ不正に侵入しゾンビPCとして操作する。 ゾンビPCのネットワークをボットネットと言う。 ゾンビPCの利用者は不正利用に気づきにくい。 ボットはスパムメールの送信やDDoS攻撃をするリソースとして使われる。

4 スパムメールの送信法法 スパム送信者がコンピュータからメールサーバに接続し、メールサーバがスパムを送信する。 送信サーバ 受信サーバ
中継サーバ

5 ボットによるスパム送信 スパム送信者がボットを用いて一般のPCに不正に侵入し操作する。
PC上に送信用の簡易メールサーバを構築しスパムメールを送信する。 受信サーバ

6 ボットにより送られる スパムの特徴 スパム送信に一般のPCを利用するのでOSがWindows95,98,ME,XP,Vista
送信機能しか持たないメールサーバ SMTPのメール受信はできない メールヘッダの送信者情報は改ざんされている可能性がある

7 研究目的 ボットによるスパム送信が本当に行われているのだろうか?
定義:スパムメールの転送経路にWindows95,98,ME,XPでサーバ機能を有していないホストがあればボットである。 スパムメールからボットを使ったメールを見抜くことができるか調査する。

8 メールヘッダ Return-Path: <fsrxthiltz@mail.com>
Delivered-To: Received: from mta144.mail.tnz.yahoo.co.jp (mta144.mail.tnz.yahoo.co.jp [ ]) by drossel.cs.dm.u-tokai.ac.jp (Postfix) with SMTP id D4CFD4A50043 for Mon, 3 Aug :16: (JST) Received-SPF: none ( : domain of does not designate permitted sender hosts) Authentication-Results: mta144.mail.tnz.yahoo.co.jp from=mail.com; domainkeys=neutral (no sig) Received: from (HELO ) ( ) by mta144.mail.tnz.yahoo.co.jp with SMTP; Mon, 03 Aug :11: Received: from by ; Tue, 04 Aug :17:

9 実験方法 受信したスパムメールから転送サーバのIPを抜き出す。 抜き出したIPに対して 1.PING
2.NMAPによるOS判定 3.SMTPコネクションでサーバ判定 を行う。

10 NMAPによるOS判定 ポートスキャンソフトのひとつ 相手の通信ポートの情報を手がかりに相手のOSを判定する機能を持つ。
OS判定の結果Windows95,98,ME,XPのIPはボットとみなす。 リリースバージョンによりVistaはWindowsServerと判定されてしまう

11 SMTPコネクション 調査IPの25番ポートにSMTPのコネクションを行い、メールサーバの機能があるか調べる。

12 実験内容 メール収集期間:8月2~7日 メール転送サーバのIPアドレスにPING、NMAP、SMTPコネクションを行い一般PCか調査する。

13 結果 OS判定の結果372件中 Windows Serverが10件、Windows95~XPが2件 Windows95~XP,2
Linux, 22 その他, 35 69件 8月 Windows Server,10 10月 Linux, 19 その他, 20 44件 Windows Server,5 0% 20% 40% 60% 80% 100% OS比率[%]

14 詳細 1回目にWindowsクライアントと 判定された2件の2回目の結果との比較 調査IP 調査時 PING OS SMTP
*.* 1回目 Windows95~XP Time Out 2回目 N/A *.* Windows XP SP2

15 考察 固定IPではないWindows95~XPでサーバ機能を有していない結果が2件だった。
Windows Serverと判定された結果の中にボットが存在した可能性がある。 システムに手動部分が多く、件数が増えるとタイムラグが発生するのでリアルタイム性が損なわれる可能性がある。

16 結論 2件のボットスパムを発見できた。 今回は手動実験だったが実験を自動化できればさらに増える可能性がある。

17 ご静聴ありがとうございました

18 システム概要1 ls -c -1 到着時間でソートした ファイルリスト 抽出し終わったメールを old ディレクトリに移動
手動 tmpbatch.sh ls -c -1 sh tmp.sh ファイル名 ・・・ tmp.shへ tmp.shで 抽出し終わったメールを old ディレクトリに移動 手動

19 システム概要2 ファイル名.tmp From: ~ To: ~ tmp.sh Received From: ~ ・・・
手動 sh sh.sh From To ReceivedIP sh.shへ Shbatch.sh

20 システム概要3 Ping sh.sh Nmap メールサーバ main.sh IP_実行時刻.log SMTP From: ~
telnet.sh メールサーバ SMTP Ping Nmap From: ~ To: ~ Received IP: ~ 実行時刻 Ping 結果 Nmap 結果 SMTP 結果 IP_実行時刻.log 終了


Download ppt "A18 スパムサーバの調査 ~ボットを見抜けるか?~"

Similar presentations


Ads by Google