a diy botnet tracking system

Internet Security Forum 2009

趙嘉言 , Eric Chio “Log0”

1Internet Security Forum 2009

何方神圣微软 , 软件设计工程师 Forefront Protection for SharePoint 2010 僵尸网络、蜜罐、相关的文章

http://onhacks.org 惡意網站資料庫

http://www.badurls.cn

基本概念学甚麽

怎麽学

如何用

研究报告在哪 ?

忙于研究建立社区 (www.badurls.cn) 听清楚哦，免得跟不上哦

这是针对个人的用户没钱，一个人都可以做！ =]

首先… 在我们深入探讨之前，让我们一起暸解一

下为甚麽这样做。

僵尸网络是甚麽来的？僵尸 (Zombie) 是被远方入侵并控制了

的电脑，即「肉鸡」。

僵尸网络 (Botnet) 就是同一个组织裡头的僵尸及操控者，「肉鸡群」。

动机兴趣十年前吧 $$$

银行户口个人资料…

政治动机

事实 1 – 有政治动机的 DDoS 四个月前，南韩和美国的多个网页受

到 DDoS 攻击超过 16 万的僵尸

爱沙呢亚 (Estonia) Titan Rain Moonlight Maze

Reference :ShadowServer - http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20090710

事实 2 – 点击骗案 Click Fraud 2009 第 3 季 42.6 % 所有点击骗案

北美、英国、越南、德国

Reference :ClickForensics.- http://www.allbusiness.com/technology/software-services-applications-online/13282309-1.html

事實 3 – 垃圾郵件 Junk Mail 所有的垃圾邮件的 87.9% 其中一個，每日 4 億多垃圾郵件

Reference :Symantec MessageLabs - http://www.spamfighter.com/News-13296-Botnets-Generate-879-of-Total-Spam-Messages.htm

关系杀毒软件浏览器第一手资料预防資料庫 …

Internet Security Forum 2009 12

好，回到原来问题…

结构

收集恶意软件

分析恶意软件

監控惡意軟件

结构

收集恶意软件

收集恶意软件恶意软件 ( Malicious binary )

蜜罐 (Honeypot, Honeyclients)研究人员

写了数篇教学 http://onhacks.org “谁在入侵我的系统 ?”

分析恶意软件

分析一个恶意软件

分析多个恶意软件For 恶意软件 in 恶意软件列 :

End for

分析多个恶意软件For 恶意软件 in 恶意软件列 :

End for26Internet Security Forum 2009

一些小事1. 始动虚拟机…

2. 监控软件…

一些小事3. 在虚拟机执行恶意软件…

4. 运行时间…

5. 反调式 (Anti-debug) 、反虚拟 (Anti-virtualization) …

现在我们有分析多个恶意软件的架构了…

需要甚麽登录资料不同的僵尸网络 (Botnet) ：

IRCHTTPP2P其他

用 TCPDUMP

需要甚麽 IRC 登录资料

需要甚麽 - IRC

IP 地址端口登录资料

NICKPASSMODEUSERHOSTJOIN

需要甚麽 - HTTP

URL /p0rnPussy/stat.php?

id=xMSEJWEVA_3ERIEOP&build_id=EF2A8A

JPEG header files (Monkif/DIKhora) Twitter status Google Groups posts

需要甚麽 – IRC

例子

監控惡意軟件

如何加入僵尸网络 IRC 的步骤：1.连到地址2.输入登录资料3.记录

HTTP 的步骤：1.连到网址2.记录

一些小事

1. 回应命令 (Botnet commands)…

2. 登录资料顺序…

3. 回应控制员 (Botnet Operator)…

终于加入了僵尸网络大家庭！

做甚麽 “沉默是金”

找寻：指令URL执行档未有见过 / 规律的

数据循环

收集恶意软件

分析恶意软件

監控惡意軟件

结构

讲了这么多…

关系杀毒软件浏览器第一手资料预防資料庫 …

总结 – 工具1. 把恶意软件放在一个资料夹分析2. 移到虚拟机去执行3. 回收记录4. 执行分析程式来抽取登录资料5. 始动一个线程 / 进程来监控僵尸网络6. 记录所有资料，再汇入到系统之中再用

总结分析恶意软件 – 成功渗透渗透僵尸网络 – 得到数据分析记录 – 得到资料研究僵尸网络 – 得到新资讯

代码将会发报 http://onhacks.org Linux, 现在 . =(

只依靠 /usr/bin/mkisofs

安全研究社区 www.badurls.cn

建立一个恶意 URL 资料库，针对中国状况

需要　你　的专业知识！

谢谢大家！

更多资讯，请到： http://onhacks.org

研究毒網，请到： http://www.badurls.cn

Eric Chio “Log0”, 安全研究爱好者 .

博客 : http://onhacks.org

电邮 : ckieric@gmail.com

Thank you OWASP China and CISRG for organizing!

參考 Fireeye Malware Intelligence lab :

blog.fireeye.com

大公司… 志願組織如 ShadowServer 每天都在監

控網絡狀況

比較有規模的公司如微軟和 Arbor Networks 都每天在監控網絡

监控流程

而你 ... 就可以去…

www.badurls.cn new!

malwaredomainlist.com kafan.cn 有個毒網分析板，專門討論毒網 mwsl.org.cn malwareurl.com vurl.mysteryfcm.co.uk

a diy botnet tracking system

Technology

99 botnet期末簡報

botnet filtering on asa - happiest minds

botnetler ve tehdit gözetleme...

paper presentation - "your botnet is my botnet : analysis of...

c&c botnet factory

botnet slide

botnet command and control structure

Étude des réseaux de logiciels malveillants - ensiwiki ·...

barcamp2015 cyberguerre et-botnet

mengenal zeus botnet lebih dekat

רשתות botnet

3d tracking : chapter4 natural features, model-based...

tấn công dos ddos drdos và botnet

beyond the botnet

empresa de seguridad gorynch botnet

lyamin beyond the botnet

your botnet is my botnet : analysis of a botnet ...

modelowanie i symulacja cyberzagrożeń typu botnet

detecting, classifying and explaining iot botnet … ·...

shuabang botnet