slide1
Download
Skip this Video
Download Presentation
A18 スパムサーバの調査 ~ボットを見抜けるか?~

Loading in 2 Seconds...

play fullscreen
1 / 20

A18 スパムサーバの調査 ~ボットを見抜けるか?~ - PowerPoint PPT Presentation


  • 126 Views
  • Uploaded on

A18 スパムサーバの調査 ~ボットを見抜けるか?~. 菊池研究室 遠藤武史. スパムメール問題. IPA 発行“情報セキュリティ白書 2009” 掲載の 10 大脅威のうち、利用者の脅威に. 第 3 位 減らないスパムメール. ボットの脅威. ウィルスやトロイの木馬を使い、一般ユーザの PC へ不正に侵入しゾンビ PC として操作する。 ゾンビ PC のネットワークをボットネットと言う。 ゾンビ PC の利用者は不正利用に気づきにくい。 ボットはスパムメールの送信や DDoS 攻撃をするリソースとして使われる。.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'A18 スパムサーバの調査 ~ボットを見抜けるか?~' - thora


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2
スパムメール問題
  • IPA発行“情報セキュリティ白書2009”

掲載の10大脅威のうち、利用者の脅威に

第3位 減らないスパムメール

slide3
ボットの脅威
  • ウィルスやトロイの木馬を使い、一般ユーザのPCへ不正に侵入しゾンビPCとして操作する。
  • ゾンビPCのネットワークをボットネットと言う。
  • ゾンビPCの利用者は不正利用に気づきにくい。
  • ボットはスパムメールの送信やDDoS攻撃をするリソースとして使われる。

第1位 多様化するウイルスやボットの感染経路

slide4
スパムメールの送信法法
  • スパム送信者がコンピュータからメールサーバに接続し、メールサーバがスパムを送信する。

送信サーバ

受信サーバ

中継サーバ

slide5
ボットによるスパム送信
  • スパム送信者がボットを用いて一般のPCに不正に侵入し操作する。
  • PC上に送信用の簡易メールサーバを構築しスパムメールを送信する。

受信サーバ

slide6
ボットにより送られるスパムの特徴
  • スパム送信に一般のPCを利用するのでOSがWindows95,98,ME,XP,Vista
  • 送信機能しか持たないメールサーバ

SMTPのメール受信はできない

  • メールヘッダの送信者情報は改ざんされている可能性がある
slide7
研究目的
  • ボットによるスパム送信が本当に行われているのだろうか?
  • 定義:スパムメールの転送経路にWindows95,98,ME,XPでサーバ機能を有していないホストがあればボットである。
  • スパムメールからボットを使ったメールを見抜くことができるか調査する。
slide8
メールヘッダ

Return-Path:

Delivered-To: [email protected]

Received: from mta144.mail.tnz.yahoo.co.jp (mta144.mail.tnz.yahoo.co.jp [203.216.244.210])

by drossel.cs.dm.u-tokai.ac.jp (Postfix) with SMTP id D4CFD4A50043

for ; Mon, 3 Aug 2009 23:16:35 +0900 (JST)

Received-SPF: none (203.216.247.181: domain of [email protected]

does not designate permitted sender hosts)

Authentication-Results: mta144.mail.tnz.yahoo.co.jp

from=mail.com; domainkeys=neutral (no sig)

Received: from 61.48.71.52 (HELO 203.216.247.181) (61.48.71.52)

by mta144.mail.tnz.yahoo.co.jp with SMTP; Mon, 03 Aug 2009 23:11:22 +0900

Received: from 144.185.57.214 by 203.216.247.181; Tue, 04 Aug 2009 13:17:27 -0100

slide9
実験方法
  • 受信したスパムメールから転送サーバのIPを抜き出す。
  • 抜き出したIPに対して

1.PING

2.NMAPによるOS判定3.SMTPコネクションでサーバ判定

を行う。

nmap os
NMAPによるOS判定
  • ポートスキャンソフトのひとつ
  • 相手の通信ポートの情報を手がかりに相手のOSを判定する機能を持つ。
  • OS判定の結果Windows95,98,ME,XPのIPはボットとみなす。
  • リリースバージョンによりVistaはWindowsServerと判定されてしまう
slide11
SMTPコネクション
  • 調査IPの25番ポートにSMTPのコネクションを行い、メールサーバの機能があるか調べる。
  • 調査の結果SMTPの受信を行っていなければボットとみなす。
slide12
実験内容
  • メール収集期間:8月2~7日
  • メール転送サーバのIPアドレスにPING、NMAP、SMTPコネクションを行い一般PCか調査する。
  • 時間経過によるIP変化を調べるため

10月15~17に同じIPに対して再調査する。

slide13
結果
  • OS判定の結果372件中
  • WindowsServerが10件、Windows95~XPが2件

Windows95~XP,2

Linux, 22

その他, 35

69件

8月

Windows Server,10

Linux, 19

その他, 20

44件

10月

Windows Server,5

0%

20%

40%

60%

80%

100%

OS比率[%]

slide14
詳細

1回目にWindowsクライアントと

判定された2件の2回目の結果との比較

slide15
考察
  • 固定IPではないWindows95~XPでサーバ機能を有していない結果が2件だった。
  • Windows Serverと判定された結果の中にボットが存在した可能性がある。
  • システムに手動部分が多く、件数が増えるとタイムラグが発生するのでリアルタイム性が損なわれる可能性がある。
slide16
結論
  • 2件のボットスパムを発見できた。
  • 今回は手動実験だったが実験を自動化できればさらに増える可能性がある。
slide17

ご静聴ありがとうございました

slide18
ls -c -1

到着時間でソートした

ファイルリスト

手動

tmp.shで

抽出し終わったメールを

old ディレクトリに移動

手動

tmpbatch.sh

sh tmp.sh ファイル名

sh tmp.sh ファイル名

sh tmp.sh ファイル名

sh tmp.sh ファイル名

・・・

tmp.shへ

システム概要1

手動

slide19
ファイル名.tmp

tmp.sh

From: ~

To: ~

Received From: ~

Received From: ~

・・・

Shbatch.sh

手動

sh sh.sh From To ReceivedIP

sh sh.sh From To ReceivedIP

sh sh.sh From To ReceivedIP

sh sh.sh From To ReceivedIP

・・・

sh.shへ

システム概要2
slide20
sh.sh

Ping

Nmap

メールサーバ

main.sh

終了

IP_実行時刻.log

SMTP

telnet.sh

From: ~

To: ~

Received IP: ~

実行時刻

Ping 結果

Nmap 結果

SMTP 結果

システム概要3
ad