1 / 20

A18 スパムサーバの調査 ~ボットを見抜けるか?~

A18 スパムサーバの調査 ~ボットを見抜けるか?~. 菊池研究室 遠藤武史. スパムメール問題. IPA 発行“情報セキュリティ白書 2009” 掲載の 10 大脅威のうち、利用者の脅威に. 第 3 位 減らないスパムメール. ボットの脅威. ウィルスやトロイの木馬を使い、一般ユーザの PC へ不正に侵入しゾンビ PC として操作する。 ゾンビ PC のネットワークをボットネットと言う。 ゾンビ PC の利用者は不正利用に気づきにくい。 ボットはスパムメールの送信や DDoS 攻撃をするリソースとして使われる。.

thora
Download Presentation

A18 スパムサーバの調査 ~ボットを見抜けるか?~

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. A18 スパムサーバの調査~ボットを見抜けるか?~ 菊池研究室 遠藤武史

  2. スパムメール問題 • IPA発行“情報セキュリティ白書2009” 掲載の10大脅威のうち、利用者の脅威に 第3位 減らないスパムメール

  3. ボットの脅威 • ウィルスやトロイの木馬を使い、一般ユーザのPCへ不正に侵入しゾンビPCとして操作する。 • ゾンビPCのネットワークをボットネットと言う。 • ゾンビPCの利用者は不正利用に気づきにくい。 • ボットはスパムメールの送信やDDoS攻撃をするリソースとして使われる。 第1位 多様化するウイルスやボットの感染経路

  4. スパムメールの送信法法 • スパム送信者がコンピュータからメールサーバに接続し、メールサーバがスパムを送信する。 送信サーバ 受信サーバ 中継サーバ

  5. ボットによるスパム送信 • スパム送信者がボットを用いて一般のPCに不正に侵入し操作する。 • PC上に送信用の簡易メールサーバを構築しスパムメールを送信する。 受信サーバ

  6. ボットにより送られるスパムの特徴 • スパム送信に一般のPCを利用するのでOSがWindows95,98,ME,XP,Vista • 送信機能しか持たないメールサーバ SMTPのメール受信はできない • メールヘッダの送信者情報は改ざんされている可能性がある

  7. 研究目的 • ボットによるスパム送信が本当に行われているのだろうか? • 定義:スパムメールの転送経路にWindows95,98,ME,XPでサーバ機能を有していないホストがあればボットである。 • スパムメールからボットを使ったメールを見抜くことができるか調査する。

  8. メールヘッダ Return-Path: <fsrxthiltz@mail.com> Delivered-To: hyperion@drossel.cs.dm.u-tokai.ac.jp Received: from mta144.mail.tnz.yahoo.co.jp (mta144.mail.tnz.yahoo.co.jp [203.216.244.210]) by drossel.cs.dm.u-tokai.ac.jp (Postfix) with SMTP id D4CFD4A50043 for <hyperion@drossel.cs.dm.u-tokai.ac.jp>; Mon, 3 Aug 2009 23:16:35 +0900 (JST) Received-SPF: none (203.216.247.181: domain of fsrxthiltz@mail.com does not designate permitted sender hosts) Authentication-Results: mta144.mail.tnz.yahoo.co.jp from=mail.com; domainkeys=neutral (no sig) Received: from 61.48.71.52 (HELO 203.216.247.181) (61.48.71.52) by mta144.mail.tnz.yahoo.co.jp with SMTP; Mon, 03 Aug 2009 23:11:22 +0900 Received: from 144.185.57.214 by 203.216.247.181; Tue, 04 Aug 2009 13:17:27 -0100

  9. 実験方法 • 受信したスパムメールから転送サーバのIPを抜き出す。 • 抜き出したIPに対して 1.PING 2.NMAPによるOS判定3.SMTPコネクションでサーバ判定 を行う。

  10. NMAPによるOS判定 • ポートスキャンソフトのひとつ • 相手の通信ポートの情報を手がかりに相手のOSを判定する機能を持つ。 • OS判定の結果Windows95,98,ME,XPのIPはボットとみなす。 • リリースバージョンによりVistaはWindowsServerと判定されてしまう

  11. SMTPコネクション • 調査IPの25番ポートにSMTPのコネクションを行い、メールサーバの機能があるか調べる。 • 調査の結果SMTPの受信を行っていなければボットとみなす。

  12. 実験内容 • メール収集期間:8月2~7日 • メール転送サーバのIPアドレスにPING、NMAP、SMTPコネクションを行い一般PCか調査する。 • 時間経過によるIP変化を調べるため 10月15~17に同じIPに対して再調査する。

  13. 結果 • OS判定の結果372件中 • WindowsServerが10件、Windows95~XPが2件 Windows95~XP,2 Linux, 22 その他, 35 69件 8月 Windows Server,10 検 査 月 Linux, 19 その他, 20 44件 10月 Windows Server,5 0% 20% 40% 60% 80% 100% OS比率[%]

  14. 詳細 1回目にWindowsクライアントと 判定された2件の2回目の結果との比較

  15. 考察 • 固定IPではないWindows95~XPでサーバ機能を有していない結果が2件だった。 • Windows Serverと判定された結果の中にボットが存在した可能性がある。 • システムに手動部分が多く、件数が増えるとタイムラグが発生するのでリアルタイム性が損なわれる可能性がある。

  16. 結論 • 2件のボットスパムを発見できた。 • 今回は手動実験だったが実験を自動化できればさらに増える可能性がある。

  17. ご静聴ありがとうございました

  18. ls -c -1 到着時間でソートした ファイルリスト 手動 tmp.shで 抽出し終わったメールを old ディレクトリに移動 手動 tmpbatch.sh sh tmp.sh ファイル名 sh tmp.sh ファイル名 sh tmp.sh ファイル名 sh tmp.sh ファイル名 ・・・ tmp.shへ システム概要1 手動

  19. ファイル名.tmp tmp.sh From: ~ To: ~ Received From: ~ Received From: ~ ・・・ Shbatch.sh 手動 sh sh.sh From To ReceivedIP sh sh.sh From To ReceivedIP sh sh.sh From To ReceivedIP sh sh.sh From To ReceivedIP ・・・ sh.shへ システム概要2

  20. sh.sh Ping Nmap メールサーバ main.sh 終了 IP_実行時刻.log SMTP telnet.sh From: ~ To: ~ Received IP: ~ 実行時刻 Ping 結果 Nmap 結果 SMTP 結果 システム概要3

More Related