a diy botnet tracking system
DESCRIPTION
A talk on large-scale tracking botnets using automation. Delivered in : OWASP China 2009 & Internet Security Forum 2009TRANSCRIPT
Internet Security Forum 2009
趙嘉言 , Eric Chio “Log0”
1Internet Security Forum 2009
何方神圣 微软 , 软件设计工程师 Forefront Protection for SharePoint 2010 僵尸网络、蜜罐、相关的文章
http://onhacks.org 惡意網站資料庫
http://www.badurls.cn
2Internet Security Forum 2009
基本概念 学甚麽
怎麽学
如何用
3Internet Security Forum 2009
研究报告在哪 ?
忙于研究 建立社区 (www.badurls.cn) 听清楚哦,免得跟不上哦
这是针对个人的用户没钱,一个人都可以做! =]
4Internet Security Forum 2009
5Internet Security Forum 2009
首先… 在我们深入探讨之前,让我们一起暸解一
下为甚麽这样做。
6Internet Security Forum 2009
僵尸网络是甚麽来的? 僵尸 (Zombie) 是被远方入侵并控制了
的电脑,即「肉鸡」。
僵尸网络 (Botnet) 就是同一个组织裡头的僵尸及操控者,「肉鸡群」。
7Internet Security Forum 2009
动机 兴趣 十年前吧 $$$
银行户口个人资料…
政治动机
8Internet Security Forum 2009
事实 1 – 有政治动机的 DDoS 四个月前,南韩和美国的多个网页受
到 DDoS 攻击 超过 16 万 的僵尸
爱沙呢亚 (Estonia) Titan Rain Moonlight Maze
Reference :ShadowServer - http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20090710
9Internet Security Forum 2009
事实 2 – 点击骗案 Click Fraud 2009 第 3 季 42.6 % 所有点击骗案
北美、英国、越南、德国
Reference :ClickForensics.- http://www.allbusiness.com/technology/software-services-applications-online/13282309-1.html
10Internet Security Forum 2009
事實 3 – 垃圾郵件 Junk Mail 所有的垃圾邮件的 87.9% 其中一個,每日 4 億 多垃圾郵件
Reference :Symantec MessageLabs - http://www.spamfighter.com/News-13296-Botnets-Generate-879-of-Total-Spam-Messages.htm
11Internet Security Forum 2009
关系 杀毒软件 浏览器 第一手资料 预防 資料庫 …
Internet Security Forum 2009 12
好,回到原来问题…
13Internet Security Forum 2009
结构
14Internet Security Forum 2009
收集恶意软件
15Internet Security Forum 2009
分析恶意软件
16Internet Security Forum 2009
監控惡意軟件
17Internet Security Forum 2009
结构
18Internet Security Forum 2009
19Internet Security Forum 2009
收集恶意软件
20Internet Security Forum 2009
收集恶意软件恶意软件 ( Malicious binary )
蜜罐 (Honeypot, Honeyclients)研究人员
写了数篇教学 http://onhacks.org “谁在入侵我的系统 ?”
21Internet Security Forum 2009
22Internet Security Forum 2009
分析恶意软件
23Internet Security Forum 2009
分析一个恶意软件
24Internet Security Forum 2009
分析多个恶意软件For 恶意软件 in 恶意软件列 :
End for
25Internet Security Forum 2009
分析多个恶意软件For 恶意软件 in 恶意软件列 :
End for26Internet Security Forum 2009
一些小事1. 始动虚拟机…
2. 监控软件…
27Internet Security Forum 2009
一些小事3. 在虚拟机执行恶意软件…
4. 运行时间…
5. 反调式 (Anti-debug) 、反虚拟 (Anti-virtualization) …
28Internet Security Forum 2009
现在我们有分析多个恶意软件的架构了…
29Internet Security Forum 2009
需要甚麽 登录资料 不同的僵尸网络 (Botnet) :
IRCHTTPP2P其他
用 TCPDUMP
30Internet Security Forum 2009
需要甚麽 IRC 登录资料
31Internet Security Forum 2009
需要甚麽 - IRC
IP 地址 端口 登录资料
NICKPASSMODEUSERHOSTJOIN
32Internet Security Forum 2009
需要甚麽 - HTTP
URL /p0rnPussy/stat.php?
id=xMSEJWEVA_3ERIEOP&build_id=EF2A8A
JPEG header files (Monkif/DIKhora) Twitter status Google Groups posts
33Internet Security Forum 2009
需要甚麽 – IRC
例子
Internet Security Forum 2009 34
Internet Security Forum 2009 35
監控惡意軟件
36Internet Security Forum 2009
如何加入僵尸网络 IRC 的步骤:1.连到地址2.输入登录资料3.记录
HTTP 的步骤:1.连到网址2.记录
37Internet Security Forum 2009
一些小事
1. 回应命令 (Botnet commands)…
2. 登录资料顺序…
3. 回应控制员 (Botnet Operator)…
38Internet Security Forum 2009
Internet Security Forum 2009 39
终于加入了僵尸网络大家庭!
40Internet Security Forum 2009
做甚麽 “沉默是金”
找寻: 指令URL执行档未有见过 / 规律的
41Internet Security Forum 2009
数据循环
42Internet Security Forum 2009
43Internet Security Forum 2009
收集恶意软件
44Internet Security Forum 2009
分析恶意软件
45Internet Security Forum 2009
監控惡意軟件
46Internet Security Forum 2009
结构
47Internet Security Forum 2009
讲了这么多…
Internet Security Forum 2009 48
关系 杀毒软件 浏览器 第一手资料 预防 資料庫 …
Internet Security Forum 2009 49
总结 – 工具1. 把恶意软件放在一个资料夹分析2. 移到虚拟机去执行3. 回收记录4. 执行分析程式来抽取登录资料5. 始动一个线程 / 进程 来监控僵尸网络6. 记录所有资料,再汇入到系统之中再用
50Internet Security Forum 2009
总结 分析恶意软件 – 成功渗透 渗透僵尸网络 – 得到数据 分析记录 – 得到资料 研究僵尸网络 – 得到新资讯
51Internet Security Forum 2009
代码 将会发报 http://onhacks.org Linux, 现在 . =(
只依靠 /usr/bin/mkisofs
52Internet Security Forum 2009
安全研究社区 www.badurls.cn
建立一个恶意 URL 资料库,针对中国状况
需要 你 的专业知识!
53Internet Security Forum 2009
谢谢大家!
更多资讯,请到: http://onhacks.org
研究毒網,请到: http://www.badurls.cn
Eric Chio “Log0”, 安全研究爱好者 .
博客 : http://onhacks.org
电邮 : [email protected]
54Internet Security Forum 2009
Thank you OWASP China and CISRG for organizing!
參考 Fireeye Malware Intelligence lab :
blog.fireeye.com
55Internet Security Forum 2009
56Internet Security Forum 2009
57Internet Security Forum 2009
大公司… 志願組織 如 ShadowServer 每天都在監
控網絡狀況
比較有規模的公司如微軟和 Arbor Networks 都每天在監控網絡
58Internet Security Forum 2009
监控流程
59Internet Security Forum 2009
而你 ... 就可以去…
www.badurls.cn new!
malwaredomainlist.com kafan.cn 有個毒網分析板,專門討論毒網 mwsl.org.cn malwareurl.com vurl.mysteryfcm.co.uk
60Internet Security Forum 2009