演講投影片 (Botnet and Honeypot technology)

1. julia.yc.cheng@gmail.com
殭屍網絡攻擊與誘捕網路技術
鄭毓芹 (Julia Yu-Chin Cheng)
成功⼤大學資通安全研發中⼼心

2. Page § 2
Speaker -- Julia Cheng 鄭毓芹
§ 經歷:
– TWISC@NCKU 網路測試平台建置管理者
– Honeynet Project 正式會員 (台灣唯⼀一）
– 成功⼤大學電通所博⼠士候選⼈人
– 國網中⼼心資訊安全課程講師
– 2010年台糖資訊安全宣導講師
– 前國網中⼼心助理研究員
§ 專⻑⾧長: 資訊安全
– 誘捕技術/ 誘捕網路/ 殭屍網路/ 惡意程式搜捕與分析
– ⼊入侵偵測技術 / 伺服器安全防護/ 駭客攻擊技術研究

3. Page § 3
Outline
§ 資安事件總覽
§ 國際安全組織介紹 – The Honeynet Project
§ 誘捕網路技術
§ 殭屍網絡攻擊現況
§ 個資法

4. 資安事件總覽
ANIMATED
SCENE
1

5. Page § 5
最常使⽤用的網際網路服務與應⽤用...
瀏覽網⾴頁:
u 新聞/資訊
u 電⼦子購物
u 部落格…等
u 社交網站
即時通訊:
u MSN
u Yahoo Massager!
u QQ…等
電⼦子郵件:
u 公務聯絡
u 知識新知
u 笑話…等
其他:
u 下載檔案
u 網路拍賣
u 電⼦子銀⾏行交易

6. Page § 6
2009 年六⼤大資安事件回顧
參考網址:
h$p://www.bnext.com.tw/ar3cle/view/cid/127/id/13177

7. Page § 7
說明
來源
惡意程式氾濫
惡意程式（Malware)指在未明確提⽰示⽤用⼾戶或未經⽤用⼾戶許可下，在⽤用⼾戶電腦
上進⾏行安裝、侵害或竊取資訊的程式。亦為病毒、蠕蟲及⽊木⾺馬之統稱。
Ex:⾃自我複製與感染物件、刪除檔案、強制安裝、難以移除、⾸首⾴頁綁架
（hijacking
)、廣告彈出 、蒐集使⽤用者與系統資訊、惡意移除⽤用⼾戶端程式干
擾電腦運作、影響系統與網路效能
惡意程式是無所不在。
l 各式各樣網站都可能被駭客植⼊入惡意程式，成為惡意程式下載點。
l 電⼦子郵件附檔，惡意程式執⾏行檔、惡意Word檔、PDF檔、Excel檔、
l 沒有安裝更新程式(Patch)作業系統、沒有安裝防毒軟體，容易遭受惡意程
式感染。
l 瀏覽惡意網⾴頁，將使⽤用者導向到惡意程式下載點，下載惡意程式。
流⾏行
趨勢
l 帳號竊取程式
l 監控與遠端遙控程式
l 具反監控與反移除功能(停⽌止防毒軟體運⾏行與更新）
l ⽂文件型病毒⼤大量發展與散佈

8. Page § 8
說明
惡意網站威脅
• 駭客攻陷有弱點網站，植⼊入惡意連結或惡意程式於網⾴頁中，或建造
釣⿂魚網站，誘騙使⽤用者瀏覽惡意網⾴頁。惡意網⾴頁⼤大量散佈惡意程式，
當使⽤用者瀏覽惡意網⾴頁時，惡意程式將攻擊使⽤用者系統，感染使⽤用
者電腦，竊取受害者個⼈人資訊，控制系統資源。
l 任何網站皆有可能成為惡意網站，網站管理者需做好安全防護措
施。盡量不要瀏覽中國⼤大陸網站，下載檔案。
l 防毒軟體無法完全有效偵測惡意網站

9. Page § 9

10. Page § 10

11. Page § 11
⾮非常嚴重的惡意網⾴頁威脅
11
Vulnerable
Web
Server
1.尋找有弱點的網站，取得控制權
2.植⼊入惡意連結於網
⾴頁
Phishing
Site
瀏覽惡意連結，
導致瀏覽器遭
受Exploit Code
攻擊，下載遠
端惡意程式
設置⼀一個以假亂真的網站，來欺騙網路瀏覽者上當
利⽤用網路瀏覽者對於正常網站的信任感，
讓使⽤用者在不知不覺中被植⼊入⽊木⾺馬程式
惡意程式伺服器(
秘密基地）
下載新型惡意程式，接受駭客控制

12. Page § 12
遊戲網站遭植⼊入惡意連結，瀏覽惡意網站後將導向到惡意
程式下載點， ⾃自動下載並執⾏行惡意程式。中毒！！！！

13. Page § 13
說明
l 社交⼯工程為駭客利⽤用⾮非技術性⼿手段，降低使⽤用者防禦⼼心，進⽽而獲得隱私
性資料並取得控制權。
l 社交⼯工程通常運⽤用於特定⺫⽬目標對象，與釣⿂魚網站相結合
l 具滲透率與破壞⼒力的兩⼤大管道：電⼦子郵件、即時通訊軟體
l 電⼦子郵件社交⼯工程：駭客偽冒寄件者發送惡意郵件，郵件內容以吸引⼈人內容
或是特惠，或運⽤用⼈人際關係，誘騙受害者瀏覽並點閱電⼦子郵件中之連結或是
附加檔案。導致受害者連結到釣⿂魚網站或是惡意網站，遭受惡意程式感染。
個⼈人化垃圾郵件數量出現驚⼈人的成⻑⾧長，線上⾝身分資訊竊賊利⽤用竊得的電⼦子郵件
清單或受害者其他遭竊的資料來製作這些個⼈人化垃圾郵件
l 通訊軟體MSN、Skype社交⼯工程：駭客偽冒受害者之好友，發送惡意連結或是
傳送惡意程式，⼀一旦受害者點閱連結或執⾏行惡意程式，駭客將可竊聽受害者
通訊內容，取得個⼈人隱私權資料。
l 網路釣⿂魚(Phishing):
要求或發動詐騙以取得個⼈人機密資訊的欺詐性網站。駭客
利⽤用電⼦子郵件發送釣⿂魚網站連結，釣⿂魚網站抄襲熱⾨門網站或公司的外觀。詐
騙網站會要求你提供個⼈人資訊，例如信⽤用卡號碼、⾝身分證號碼或帳⼾戶密碼等。
社交⼯工程四⼤大⼿手法
四⼤大
⼿手法

14. Page § 14
l 網路社群你我他：架構在真實網路或網站中，具有特定⺫⽬目的或相同興趣，因
⽽而連結的虛擬社會群體概念，最熱⾨門的有 Facebook、無名⼩小站、 Plurk噗浪
社交⼯工程四⼤大⼿手法

15. Page § 15

16. Page § 16
鎖定特定⼈人員，寄送
惡意PDF⽂文件檔案。
惡意連結
假冒美國知名航空公司
Delta
Airlines
所發出的電⼦子
郵件收據。
Paypal
釣⿂魚信件
電⼦子郵件社交⼯工程
點選連結，下載惡意程式

17. Page § 17
2009年4⽉月，⼤大量的DHL網路
釣⿂魚電⼦子郵件
假冒DHL快遞公司的釣⿂魚⾴頁⾯面，偷取個⼈人資料，
⺫⽬目標則是竊取帳號與登⼊入資料，⽍歹徒將會利⽤用
偷來的帳號從事不法活動，例如運送⾮非法物品

18. Page § 18
2009-11-30

19. Page § 19
中毒主機透過即時通訊軟體MSN，Skype，冒名⼤大量散布與
傳播假訊息
傳送⿆麥克傑克森死亡謀殺真相惡意連
結給所有好友名單
社交⼯工程⼿手法，傳送惡意連結

20. Page § 20
攻擊案例
(電⼦子郵件 +
釣⿂魚網站 + 機器⼈人病毒 +竊聽側錄程式）
Step
1:
受害者收到⼀一封電⼦子郵件，聲稱能為您查詢您的朋友是否將您「封鎖
(Blocked)」，郵件中含有⼀一個釣⿂魚連結。
Step
2:
連上釣⿂魚網站後，輸⼊入MSN/
Skype
帳號密碼後，帳號密碼⽴立即被偷⾛走，
機器⼈人病毒與Webcam監控程式植⼊入受害者系統。
惡意程式針對Skype開始竊聽側錄

21. Page § 21
殭屍網路形成： 場景 1
§ 有⼀一天收到⼀一封Email，告訴我出現的⼀一個漏洞，線上掃描可以幫
我檢查是否存有此問題，所以我就….
21
sysadmin [sysadmin@symantec.com]

22. Page § 22
殭屍網路形成： 場景 2
§ MSN傳來⼀一則訊息告訴我，Facebook很久更新了喔，快上去更新⼀一下
Facebook，順便看⼀一下他的連結。
22

23. Page § 23
駭客簡單且快速即可建⽴立起殭屍網絡
Simple and Quickly:
§ 藉由操作簡單且功能強⼤大的Botnet Setup Tool Kits，搭配惡意網⾴頁(網⾴頁掛
⾺馬)、垃圾郵件、釣⿂魚網站搭配下，可輕易的組織犯罪網路。
23

24. Page § 24
這是事實…..
§ Hacking is easy and cheap.
§ You will be a victim anytime and anywhere
§ Hackers love your information, computer, network and your money
§ Hacking market is very mature
24

25. Page § 25
Hacking Market
25

26. Page § 26
Seller : 各式各樣的Bot出售，附帶教學
26

27. Page § 27 27

28. Page § 28 28

29. Page § 29 29

30. Page § 30 30

31. Page § 31 31
XR BOTS .25 EACH

32. Page § 32
700 DDoSeR bots for selling
32
153$ paypal ONLY

33. Page § 33
聖誕節⼤大拍賣
33

34. Page § 34 34
§ Sikandar's Private FUD Keylogger v1 Features:

35. Page § 35
偵測駭客攻擊事件：
偵測第一步是什麼？
取得駭客攻擊事
件的蛛絲⾺馬跡
該怎麼做呢？
利⽤用誘捕網路
技術來收集資料
然後呢？
透過誘捕系統資料，
找出駭客與⼿手法，
擬定防範步驟

36. 國際安全組織介紹
The Honeynet Project
ANIMATED
SCENE
2

37. Page § 37 37
The Honeynet Project
§ The Honeynet Project is an organization dedicated to
answering these questions. It studies the bad guys and
shares the lessons learned.
– What specific threats do computer networks face from hackers?
– Who's perpetrating these threats and how?
§ The group gathers information by deploying networks (called
honeynets) that are designed to be compromised.

38. Page § 38
The Honeynet Project
§ The Honeynet Project is a non-profit, research organization
improving the security of the Internet at no cost to the public
by providing tools and information on cyber security threats.

39. Page § 39
Mission Statement:
To learn the tools, tactics, and motives of the
blackhat community, and share the lessons
learned.
n Goals :
n Awareness: To raise awareness of the threats that
exist.
n Information: Aware, teach and inform about the threats.
n Research: To give organizations the capabilities to learn
more on their own.
39

40. Page § 40
The Honeynet Project History
§ 成⽴立於1999年，由⼀一群對誘捕技術有興趣的同伴，共同組成
與參與，最早是透過Mailing-List 溝通
§ 2000年，Lance Spitzner 正式成⽴立Honeynet Project，並制
定組織章程，全球重要資安單位與專家陸續成⽴立Honeynet
Project 各國⽀支會。
§ ⾄至今(2010.07)，全球共有41個Honeynet Project⽀支會，致⼒力
於改善現有資訊安全技術上所碰到的瓶頸。

41. Page § 41
The Honeynet Project History
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
Member organized
in Wargames
mailing list
Lance
Spitzner
officially become
Honeynet
Project
Organize
Research
Alliance
啟動Annual
Workshop機制
Funded
Google Code
Project
High-Interaction
Honeywall CDROM ROO
正式推出
Client Honeypot
技術發展
Virtual Honeypot
觀念與技術發展
⾄至今共有41個
國家成⽴立⽀支會
GDH Project
全球分散式誘捕
系統佈建
有限資源
最⼤大利⽤用
⾼高互動式誘捕網路
捕捉新型攻擊⼿手法
網站攻擊⾏行
為猖獗
全球誘捕
網建⽴立
分享各國資
安發展現況

42. Page § 42
Honeynet Project Organization
Characteristics:
– Not-profit (501c3) organization
– Trusted relationship for full members.
– Works virtually around the world.
42

43. Page § 43
Activities
§ KYE Papers
§ Forensics Challenge
§ Open Source Tools Development
§ Global Distributed Honeynet (GDH II )
§ Google Summer Code (GSoC) Project
§ Annual Closed Workshop

44. Page § 44
Annual Workshop
§ 2009 Annual Workshop:
– 2009年2⽉月25⽇日⾄至2⽉月28⽇日於⾺馬來
⻄西亞吉隆坡舉辦
– 全球共70⼈人參與 (Closed Meeting)
會議中討論:
– 共15個國家介紹⺫⽬目前研究發展
現況，組織運作現況
– 訂定重要R&D計畫，跨國共同合作
– 技術交流，經驗與研究分享
– 讓各⽀支會成員互相交流，建⽴立
Trusted Relationship
– Hands-on Training Courses
44
We are
here !
2007年
2009年

45. Page § 45
http://www.honeynet.org
§ http://www.honeynet.org/project

46. 誘捕網路技術介紹
ANIMATED
SCENE
3

47. Page § 47
真實網路攻擊實例：
台灣xxx教育局伺服器主
機，發現有許多未明連線
與埠口

48. Page § 48
台灣xxx教育局被放置Bot殭屍程式，PHP
Bot

49. Page § 49
台灣xxx教育局被設置釣魚網站

50. Page § 50
被載入駭客控制介
面

51. Page § 51
從誘捕系統所得到的資訊，我們渴望能
夠知道什麼？
•
駭客攻擊架構模型？
•
哪些角色參與其中？
•
駭客最終意圖為何？
51

52. Page § 52
1.
利⽤用網站弱點以及RFI攻擊
⼿手法，
Site
A 變成駭客的Host
Proxy，
駭客可透過A控制Bot
Compromise
Web
A
網頁掛馬
將Malicious
Code植⼊入Page，
回報站
1.
使⽤用者瀏覽網⾴頁，
即下載惡意程式，中毒
回報IP，Email，使⽤用者帳號，
作業系統，CPU，MSN
(Web
,
Smtp)
下載更多惡意程式
寄發內含釣⿂魚連結
假冒信件
洩漏隱私
性資料
Malicious
Web
+
RFI
+
Fast-­‐Flux+
Phishing
=
完整的駭客社群⾦金流體系
申請一個網域
名稱
3322.org
2.
建⽴立Malware
File
Server
SMTP
Server
SMTP
Server
Malicious
Web Site B2
Malicious
Web Site B1
3322.org
3322.org Malicious
Web Site B3
3322.org
Phishing
Web Site C1
3322.org Phishing Web
Site C2
3322.org

53. Page § 53
完整的網路攻擊模式分析
1.註冊動態域名解析服務(Dynamic
DNS)，例如:
xxx.
8866.org
/
xxxx.3322.org
2.
攻擊基地:尋找有弱點網站，遠端植入(setup)檔案，成
為駭客發動攻擊基地與社交網站據點。
3.
前哨站:
建立惡意程式下載伺服器、惡意網頁、釣魚
網站、垃圾郵件伺服器。誘使使用者感染惡意程式後
，竊取資料，並利用快速變動網域(Fast-Flux)保護前
哨站。
4.
享受成果：當使用者感染惡意程式後，將會把個人
資料傳送到中繼站，並開始寄送垃圾郵件，下載更新
惡意程式，成為駭客殭屍網絡中一員。
53

54. Page § 54
惡意網⾴頁攻擊⼿手法說明：
§ 駭客攻陷有問題網站，植⼊入惡意連結於網⾴頁中，或建造釣
⿂魚網站，誘騙使⽤用者瀏覽惡意網⾴頁。
§ 惡意網⾴頁⼤大量散佈惡意程式，當使⽤用者瀏覽惡意網⾴頁時，
Exploit Code 攻擊瀏覽器的弱點，感染使⽤用者電腦，竊取
使⽤用者帳號密碼，導致使⽤用者變成殭屍網絡的⼀一員。
54
惡意連結導向惡意網⾴頁，惡意網
⾴頁含有攻擊瀏覽器弱點的Exploit

55. Page § 55
惡意網⾴頁攻擊⼿手法說明—進階發展(Cont.)
§ 駭客為了躲避防毒軟體，網⾴頁內容過濾系統偵測，駭客利⽤用
Javascript語⾔言將Exploit Code 與惡意連結(Malicious Link)
編碼變型，導致防毒軟體難以有效偵測，但使⽤用者瀏覽器
仍可正確解譯出內容，遭受攻擊與感染。
55
http://v.6t65r.cn/01/

56. Page § 56
惡意網⾴頁Drive-by-Download攻擊⼿手法
§ Drive-by-Download⼜又稱為網⾴頁掛⾺馬，或網⾴頁隱藏式惡意
連結。
§ 使⽤用者在瀏覽網⾴頁或瀏覽HTML格式信件時，在使⽤用者不
知情或是不了解知情況下，攻擊應⽤用程式的漏洞
(Browser、Flash 、 PDF…) ，下載惡意程式並感染⽤用⼾戶
端電腦。
56

57. Page § 57
惡意網⾴頁威脅為何難以防範與清除？
57
Malicious
Link
Malicious
Link
Malicious
Link
Malicious
Link
Obfuscated
Javascript
Obfuscated
Javascript
Malware
Malware
Malware
Exploit Code
Landing Sites Hopping Site
Download Site
惡意連結
變形編碼過後
惡意JavaScripts
惡意程式伺服器
(秘密基地）
惡意網站跳躍式攻擊關聯圖
一連串攻擊協同合作關係，現在的偵測方式都只著重於找出
Landing
sites，應設法找出完整的攻擊生態鏈。

58. Page § 58
誘捕技術分類：
§ 誘捕系統說明
§ 誘捕網路介紹
§ Client Honeypot 說明

59. Page § 59
Thinking … 誘捕網路/誘捕系統設計起源
§ A lot of information to provide us :
– Firewall , IPS, Negios, System Logs, …..
– Authorized access, unauthorized connection, unusual
connections, abnormal behaviors, …
§ However, what is critical information for network
administrators ?
§ To Solve : finding a needle in a haystack
§ Good Solution : Honeypot Honeynet
59

60. Page § 60
誘捕系統(Honeypot)介紹
60
§ General Purpose :
– Designed operation systems, services or vulnerabilities
around your networks to be probed and hacked.
– All data collected is of high value and unpolluted
§ What is Honeypot ? (單點)
– Honeypot 為⼀一個設計為運作中且無營運價值之系統，被
⽤用來當作駭客攻擊⺫⽬目標，⽤用來學習駭客活動與⾏行為，並
收集網路威脅的相關資訊
– 運作模式: 模擬特定的服務與作業系統來運作，並對進
出的資料進⾏行監控、捕獲，提供研究分析

61. Page § 61
Honeypot 佈點⽰示意圖
圖⽚片來源: www.mtsc.com.tw/service11.htm

62. Page § 62
誘捕系統⽤用途：
§ 低互動式誘捕系統：Honeyd可模擬不同作業系統與服務，
統計何種作業系統與服務是現今攻擊主流。
§ 惡意程式誘捕系統：遭受殭屍程式所感染的主機，將會對外
發出特定的攻擊⾏行為，惡意程式誘捕系統將可以收集到新型
惡意程式攻擊⾏行為，惡意程式樣本，判定攻擊者。
§ 網⾴頁應⽤用程式誘捕系統：HIHAT 為⼀一⾼高互動式的網⾴頁誘捕
系統，可偵測多種網⾴頁應⽤用程式攻擊。誘捕系統當遭受到網
⾴頁應⽤用程式攻擊(Bot)，攻擊連線將會被記錄，呈現於圖型化
⾴頁⾯面中

63. Page § 63
低互動式誘捕系統 -- Honeyd
§ 模擬作業系統與服務
Internet
Router
192.168.0.1
Linux
192.168.0.2
FreeBSD
192.168.0.3
Windows
192.1683.0.4
NetBSD
192.168.0.0
Honeyd
系統

64. Page § 64
惡意程式運作實例– LSASS Vulnerability
MS04-011
LSASS 弱點
MS04-011
LSASS 弱點
l MS04-011(CVE 2003-0533) : 對LSASRV.DLL 進⾏行緩衝區溢位攻擊成
功後，可取得系統控制權，遠端攻擊者可在受害系統上執⾏行任意程式碼。
W32.Gaobot.AFC/
W32.Gaobot.AFJ
W32.Gaobot.AFW
W32.Sasser
Exploit code ( Fire-and –Forget)
All Malicious Payload (Compromise
Machine) W32.Gaobot.AFC/
W32.Gaobot.AFJ/
W32.Gaobot.AFW
W32.Sasser

65. Page § 65
惡意程式誘捕系統 – Nepenthes
§ 惡意程式誘捕系統，藉由模擬系統弱點，誘使惡意程式
對誘捕系統進⾏行攻擊，進⽽而捕捉到惡意程式
(Autonomously Spreading)。
– Low-Interaction Honeypot
– 網站: http://nepenthes.carnivore.it
– 網站: http://nepenthes.mwcollect.org
– Developer: Paul Baecher,
– Markus Koetter

66. Page § 66
設計原理 ： Emulated Vulnerable Services
Vulnerability
Vulnerability
vuln-asn1
vuln-optix
vuln-bagle
vuln-pnp
vuln-dameware
vuln-sasserftpd
vuln-dcom
vuln-upnp
vuln-msmq vuln-veritas
vuln-mssql vuln-wins
vuln-mydoom vuln-msdtc
vuln-netbiosname vuln-ftpd
vuln-netdde vuln-sub7
vuln-kuang2 vuln-iis
vuln-lsass

67. Page § 67
§ 驗證⼀一: Nepenthes Process執⾏行
§ 驗證⼆二:開啟系統服務埠⼝口，模擬弱點

68. Page § 68
§ 驗證三:外來惡意程式與Nepenthes互動
外來攻擊來源

69. Page § 69
惡意程式誘捕系統-- Nepenthes
69

70. Page § 70
Remote File Inclusion說明 (Cont.)
§ Remote File Inclusion (RFI，遠端檔案引⼊入) ，並⾮非是⼀一種
新型攻擊，隨著殭屍網絡的橫⾏行，現在已成為⼀一種攻擊主流。
§ 駭客/殭屍電腦，嘗試尋找有RFI弱點的網⾴頁應⽤用程式 網⾴頁伺服
器(Web Server)，控制受害網⾴頁伺服器執⾏行遠端可執⾏行碼，
藉由執⾏行碼的運⾏行，駭客將可⼊入侵受害電腦，取得控制權。
70
Step 1: Try to Inject (Testing Code A) into target webpage
Injec
t
OK
Step 2: if OK, hackers can
inject (Executable Code A )
to control host B
Step 3: Exploit this host and get
root access authority
A: RFI attack site B: Target Site

71. Page § 71
駭客攻擊步驟(Remote)
71
http://milw0rm.org/exploits
Step 1: 查詢可利⽤用的網⾴頁RFI弱點
Step 2: 利⽤用
Google或RFI
Scanner尋找有RFI
弱點的網⾴頁
Step 3: 嘗試Inject A的PHP
Code進⼊入Target B，測試RFI弱
點是否存在於B
RFI Site A (Drop Site) Target B
PHP
Code
Step 4: 若B存在RFI弱點，則進
⼊入Target B取得權限，執⾏行Bot
程式，成為Botnet⼀一員

72. Page § 72
駭客常⽤用⼯工具: exploitscanner
72

73. Page § 73
偵測RFI攻擊: HIHAT (Web Honeypot)
§ 為了要找出RFI Dropsite (亦即，有弱點且已被放置RFI Scripts
的Web Server)，駭客會控制殭屍電腦 利⽤用弱點掃描⼯工具，
掃描存在弱點的網⾴頁主機。
§ 架設Web Honeypot -- HIHAT ，可偵測出RFI Drop Site，通
報該主機管理者存在有這⽅方⾯面弱點，盡速加以處理。
73

74. Page § 74
Remote File Inclusion 說明:
§ Why hackers loves vulnerable web server ?
(Web Server 為最好的受控殭屍電腦)
– ⾼高頻寬
– 硬體設備效能較好
– ⾼高可靠性，(99% is online service)
– 多⼈人使⽤用，良好的網⾴頁掛⾺馬植⼊入點
74

75. Page § 75

76. Page § 76

77. Page § 77

78. Page § 78

79. Page § 79
誘捕網路 (Honeynet) 介紹
§ 所要解決的問題:
§ How can we collect more information and defend
against enemy, when we don’t even know who the
enemy is?
如何能夠收集駭客⼀一連串攻擊⾏行為，⽽而不被發現有⼈人
在觀察?
§ Honeypot為單⼀一資料收集點，所能收集到的資料⾮非常
有限，如何可以看到全⾯面性且完整的駭客攻擊資訊
§ 誘捕網路為⼀一個完整的真實網路，主要開放給駭客進
⾏行攻擊，並能夠藉由網路學習駭客的攻擊⾏行為
§ 藉由Honeynet環境建置，能夠對所有進出的流量加以
收集與監控

80. Page § 80
80
誘捕網路 (Honeynet) 介紹 (Cont.)
§ 特性:
– 具有⾼高⾵風險性: 需要保護和攻擊者直接打交道的真正的
作業系統
– 更適合學習駭客攻擊⾏行為: 與Honeypot進⾏行⽐比較，所
有被捕捉的資料可以幫助我們研究分析⼊入侵者們使⽤用
的⼯工具、⽅方法及動機並可進⾏行深⼊入分析

81. Page § 81
81
誘捕網路 (Honeynet) 介紹 (Cont.)
⺫⽬目的:
§ 誘捕網路為⼀一個完整的真實網路，主要開放給駭客進⾏行
攻擊，並能夠藉由網路學習駭客的攻擊⾏行為
§ 誘捕網路能夠收集全⾯面性的攻擊資料，進⾏行分析，進⽽而
學習駭客所⽤用的⼯工具與⼿手法，甚⾄至於駭客的攻擊的動機
§ Honeynet其價值在於可以提供確實的risk與vulnerabilities
給相關的安全組織

82. Page § 82 82
Honeywall CDROM ROO
§ Honeynet Project所提供，主要將所有架設Honeynet所
需要的系統、⼯工具軟體與相關設定檔結合成ㄧ個可開機
光碟，幫助使⽤用者進⾏行Honeynet的架設
§ https://projects.honeynet.org/honeywall/

83. Page § 83 83
Honeynet 說明⽰示意圖
router
Host 1 Host N
...
Server 1 Server N
Honey Host 1
Honey Host N
...
Management Host
eth1
eth0
eth2
HoneyWall
HoneyNet
...

84. Page § 84
84
Honeywall CDROM ROO架構
§ 資料捕捉機制(Data Capture):
§ Firewall Log、Snort、Sebek
INTERNET
Honeywall
無設限條件
連線限制 過濾攻擊行為封包
Sendmail Mail
Server
Oracle DataBase
Server
DNS
Server
MS-SQL DataBase
Server
Apache Web
Server
Honeynet

85. Page § 85 85
Honeywall CDROM ROO架構 (Cont.)
§ 資料捕捉機制 (Data Capture):偵測並捕獲所有攻擊流量
§ 數據控制機制 (Data Control): 降低⾵風險，使的honeypot
主機不會變成跳板去攻擊其餘主機
§ 數據分析機制 (Data Analysis):分析攻擊者到底做了什麼

86. Page § 86 86

87. Page § 87 87

88. Page § 88 88

89. Page § 89 89

90. Page § 90
Client Honeypot 技術介紹
§ Client Honeypot 概念於2005年被提出與應⽤用，⽤用
來改善越來越嚴重的Browser Exploits 與Client-Side
Attacks 問題
§ 定義: Client Honeypot is an active security devices
in search of malicious servers that attack clients.
– 控制應⽤用程式 (Browser)，對遠端主機⺫⽬目標進⾏行探測，
藉由探測結果，評估是否遠端⺫⽬目標為惡意伺服器。
90

91. Page § 91
Client-Side Attack (Cont.)
1. 植⼊入Exploit ，並進⾏行Obfuscation。
( encoding, dynamical content with Javascript, functions)
2. Redirect
window.open()
window.location.href()
meta http-equiv=“refresh” content=“…”
Drive-by-download
3. 執⾏行Exploit Code
惡意程式
攻擊Browser，下載惡意程式於⽤用⼾戶端電腦當中

92. Page § 92
Client-Side Attack (Cont.)
§ 常⾒見Client-Side Attack之影響:
– 植⼊入bot，加⼊入殭屍網絡，接受駭客控制
– 建⽴立Proxy於受害端，利⽤用受害端網路發送垃圾郵件
– 建⽴立spyware與keylogger，收集資訊
– 建⽴立Browser Helper Objects (BHOs)或廣告軟體

93. Page § 93
惡意網站探測 –Capture-HPC
n 定義:Client honeypot is an active security devices/
application in search of malicious servers that attack
clients.
n 為⼀一主動式之誘捕系統，能夠模擬⽤用⼾戶端應⽤用程式與
Server進⾏行互動，根據互動結果能夠判斷Server為正常
(Benign)或是異常(Malicious)
n Capture-HPC為⼀一⾼高互動式的Client Honeypot，探測
Malicious Web servers (監控Client-Side Attacks)
93

94. Page § 94
Client-Side Attack 防禦對策
§ 避免於不知名之網站瀏覽橫幅廣告
§ 按下任何連結時均應提⾼高警覺
§ 於虛擬機器中瀏覽可疑網站
§ 持續作業系統與應⽤用程式定期更新
§ 提升瀏覽器安全性
– 在瀏覽器設定中停⽤用 JavaScript
– 利⽤用Mozilla Firefox提供之noscripts附加元件，執⾏行來⾄至特定受信
任網域之Java, Java Scripts

95. Page § 95
技術演進過程
Honeypot
Honeynet
Client
Honeypot
Malware
Honeypot
GDH 2
l 1998 ~ 迄今
l ⼯工具：Honeyd, VoIP Pot, SpamPot, WirelessPot, Google Hack Pot, HIHAT
l 模擬不同功能與Service之系統，收集不同種類駭客攻擊⾏行為
l 2002 ~ 迄今
l ⼯工具：Honeywall CD-ROM , HoneyStick
l 提供完整的（誘捕）網路架構，並對進出之網路流量進⾏行監控與收集
l 2005 ~ 迄今
l ⼯工具：HoneyC , Capture-HPC, HoneySpider, HoneyClient
l 模擬使⽤用者網站瀏覽⾏行為，探測惡意網站
l 2006 ~ 迄今
l ⼯工具：Nepenthes, Honeytrap
l 模擬系統弱點，系統與惡意程式交談過程，收集惡意程式
l 2004 ~ 迄今
l ⼯工具：GDH1, GDH2
l 架設Global Distributed Honeypot，收集全球攻擊事件，建⽴立資料共享機制

96. Page § 96
誘捕⼯工具分類：
分析
工具
Network
Connection
Web App.
Malware
Client-Side
Behavior
PCAP file
l Capture-BAT: Win32 Operation System Behavior Analysis Tool
l Honeysnap: Used for extracting and analyzing data
DNS l Tracker: Used to find domains resolving, track hostnameà IP
EXE file l Pehunter: grabs Windows executables off the network
l Honeymole: Setup Honeyfarm multiple sensors that redirect
traffic to a centralized collection of honeypots.
l Honeywall CD ROM: Create a network architecture for
capturing attacks
l Honeystick: It includes both the Honeywall and honeypots
from a single, portable device
l Honeyd: Low-interaction used for capturing attacker activity
l Honeytrap: Capture Novel attacks against network services
l Google Hack Honeypot :
l HIHAT: transfer PHP application to Honeypot
誘捕
工具
l Nepenthes: emulate known vulnerabilities to download malware
l HoneyC: Low interaction Client Honeypot
l Capture-HPC: High-Interaction Client Honeypot

97. Page § 97
建置誘捕系統 / 誘捕網路考量要點與順序：
1. 建置⺫⽬目的為何？
2. 所需資源為何？ IP / Physical Device/ ⼈人⼒力…
3. 架構設計考量？ 網路/ 政策/ ⾵風險 …
4. 功能設計
5. 資料分析能⼒力

98. Page § 98
全球分散式誘捕系統建置計畫：
§ HonEeeBox – Rapid Deployment of Many
Distributed Low Interaction Malware Collectors
§ Start project immediately (June 2009)
§ Deploy widely and internationally (130+)

99. Page § 99

100. Page § 100

101. Page § 101

102. Page § 102

103. Page § 103

104. Page § 104

105. Page § 105
誘捕技術應⽤用
§ 誘捕系統/ 誘捕網路建置功⽤用：
– 網路攻擊資料收集
– 輔助Firewall / IPS 更精準找出攻擊來源與⼿手法
– 不同類型的誘捕系統可捕捉不同的攻擊⾏行為
– 搭配資料分析與視覺化幫助了解網路攻擊現況
– 殭屍網路偵測

106. 殭屍網路攻擊介紹
ANIMATED
SCENE
3

107. Page § 107
Botnet Infrastructure
2. Setup Botnet
CC Server and
fast-flux
xxxx.asia xxxx.asia xxxx.asia xxxx.asiaxxxx.asia
1.Register Domain
xxxx.asia
Botnet Developer
3. Infected
Bot
Controlled
4. Sell
botnets 5.Control
botnets
6. Criminal Activities inside Botnets
YouTube ddos
exploits
downlaod
Phishing
Sites Click Information
Stealer
DDOS Exploits /
New malware
SSH
Brute
Flooding
(new target)
Idea:
1.Monitoring inside the botnets
2.Collect pcap-traffic and command
3. Analyze and incident Reporting

108. Page § 108
Idea of Inside the Botnets
2. Setup Botnet
CC Server and
fast-flux
xxxx.asia xxxx.asia xxxx.asia xxxx.asiaxxxx.asia
1.Register Domain
xxxx.asia
Botnet Developer
3. Infected
Bot
Controlled
4. Sell
botnets 5.Control
botnets
6. Criminal Activities inside Botnets
YouTube ddos
exploits
downlaod
Phishing
Sites Click Information
Stealer
DDOS Exploits /
New malware
SSH
Brute
Flooding
(new target)
Feedback
Pcap
Bot IP
command
Idea:
1.Monitoring inside the botnets
2.Collect pcap-traffic and command
3. Analyze and incident Reporting

109. Page § 109 109

110. Page § 110
Fast-Flux Domain Detection
§ 目標：
發展快速變動網域偵測與追蹤技術，辨識與
偵查惡意網域資訊。
§ 技術方法：取得網域註冊與變動資訊，發展評分
機制，判斷變動網域。
110

111. Page § 111
Fast-Flux Domain Detection (Cont.)
§ 什麼是Fast-Flux :
– Fast-Flux類似Content Distributed Networks的技術
– Botnet為了避免某個bot被偵測出來而使得整個botnet servic
e瓦解，因而利用Fast-Flux加強Botnet架構的可靠度，亦
可用於隱藏Botmaster的追蹤。
111

112. Page § 112
Bot

113. Page § 113
Fast-Flux Domain Detection
A Hierarchical FF Detection Method:
Flux-score: Thorsten Holz, et. al., “Measuring and Detecting Fast-Flux Service Networks,”
in Proceedings of the 15th Network Distributed System Security Symposium (NDSS), 2008.
§ Phase 1: (Detect the FF domain and CDNs)
– Use different behavior conditions of FF to detect FF domain
– If it satisfies more than 4 conditions, it may be a ambiguous domain
which may be FF or the domain using CDNs
§ Phase 2: (Detect the FF domain exactly)
– Use Flux-score to further detect the FF domain from the ambiguous
domain

114. Page § 114
Fast-Flux Domain Detection
§ 正常變動網域
CDN技術，大部分A
record
所對應之ASN應為一致
114

115. Page § 115
Fast-Flux Domain Detection
§ 惡意變動網域：
A record所對應之ASN
皆⼤大部分為不同
IP位置差異性⾼高於B Class
115

116. Page § 116
Inside the botnets : Methodology
2. Sample
Analysis
• Sample analysis to
extract CC information
(IP, nickname, passwd,
channel, command)
• Analysis Tools:
1. CWSandbox / Anubis
2. VirusTotal
3. Libemu: Shellcode
4. Pkaii: PHP Analyzer
3. Infiltration
• Send the bot to join CC
server
• Collect command, traffic and
activities insides CC
• Monitoring Tools:
1. rishi: bot traffic monitor
2. infiltrator:
3. Xchat + vmware
1. Collection
• Honeypot Technology
1. Malware collect HP
2. Malicious RFI HP
3. Malicious Web HP
• Honeypot Tools :
1. Nepenthes
2. mwcollectd
3. Glastof / HIHAT
4. CaptureHPC
5. PhoneyC

117. Page § 117
Inside the botnets : Methodology (Cont.)
4. Feedback
• Collect network pcap files
• Feedback information to
IRC server (command,
botIP, attacked targets)
• Feedback Tools:
1. Scripts by myself
2. IRC server
3. weechat
5. Analysis
• Data analysis using
search engine tool
• Data Visualization for
pcap traffic analysis
• Analysis Tools:
1. tshark
2. chaosreader
3. Splunk free version
4. Picviz
6. Reporting
• Share data with trusted
organizations
• Ticket System:
1. OTRS2 (npt ready)

118. Page § 118
1. Collection : (Cont.)
§ Using HONEYPOT technology to collect attacking data and
malicious samples
§ Why we use honeypot on data collection?
– Objective: Get infected hosts and capture malicious content
– Infected host with vulnerabilities may probe and attack honeypot with
the same vulnerability emulated.
Honeypot

119. Page § 119
1. Collection : (Cont.)
§ Honeypot Design v.s Purpose
– ROO Honeywell (Collect attacking traffic and grab novel zero-day attacks )
– Malware honeypot (Emulate windows vulnerabilities to collect malwares )
– Client honeypot (Emulate browser behavior to detect malicious web content)
– RFI honeypot (Emulate vulnerable web applications to collect RFI attacks
§ Honeypot Deployment:
– ROO Honeywall and High-Interaction winxp Honeypots
– Malware honeypot (3) : Nepenthes / Dionaea / mwcollectd
– Client honeypot (3): capture-hpc / PhoneyC
– RFI honeypot (3): Glastof

120. Page § 120
1. Collection : (Cont.)
§ Malware Honeypot (Nepenthes, Dionaea, mwcollectd): 利⽤用
Honeypot模擬系統弱點，誘捕⾃自動化散佈的惡意程式，可收集惡
意程式樣本與殭屍電腦。
§ Malicious Web Page (Capture-HPC, Phoneyc): 模擬瀏覽器
⾏行為，探測已遭受掛⾺馬的網⾴頁，瀏覽過程中將會下載惡意程式
樣本、系統影響情形、封包流量紀錄。
§ RFI Compromised Web (RFI Scripts Detection): 某個網站具有
可遠端執⾏行網⾴頁指令(Scripts)的能⼒力，則容易形成HTTP Botnet
(RFI bot) ，已成為攻擊主流，架設Web Honeypot模擬web
application vulnerabilities收集PHP Bot 程式。
§ Others: 垃圾郵件URL Link、郵件附檔、Phishing、國外資訊分享
，地下組織。
120

121. Page § 121
1. Collection : Nepenthes / Dionaea / mwcollecd
§ Botnet形成主要原因：使⽤用者電腦感染惡意程式(殭屍程式），連線
到Botnet CC Server 。
§ 為何要收集惡意程式：對樣本進⾏行⾏行為分析可找出CC Server
§ 惡意程式誘捕系統：藉由模擬系統弱點，誘使已受惡意程式感染的
系統，對誘捕系統進⾏行攻擊，進⽽而捕捉到惡意程式 (Autonomously
Spreading)
– Nepenthes (第⼀一代) / Dionaea (第⼆二代)
– 整合型：mwcollectd (Dionaea + honey trap )
§ 下載網址：
– Nepenthes: http://nepenthes.mwcollect.org
– Dionaea: http://dionaea.carnivore.it/
– mwcollectd: http://code.mwcollect.org/projects/show/mwcollectd

122. Page § 122
1. Collection : 惡意程式誘捕系統運作實例
(可能感染殭屍程式的電腦主機

123. Page § 123
1. Collection : 惡意程式誘捕系統運作實例 (Cont.)
(可能感染殭屍程式的電腦主機 惡意程式放置點 惡意程式MD5

124. Page § 124
1. Collection : 惡意程式誘捕系統運作實例 (Cont.)
§ 限制 1: 此為被動式之誘捕系統，需廣泛建置才能搜捕到受Infected Hosts
( 受惡意程式感染之電腦)。
§ 限制 2: 只能搜集到⾃自動散佈的惡意程式，無法搜集惡意網⾴頁上之惡意
程式。
§ 限制 3: 無法蒐集新型惡意程式。

125. Page § 125
1. Collection : 主動型惡意網⾴頁誘捕系統
§ 自動化判斷網站是否含有惡意連結，進而收集惡意網頁
攻擊碼(Malicious Javascripts and Shellcode)與惡意程
式樣本。
§ Capture-HPC自動化控制瀏覽器(Browser)瀏覽網站，
並與網站內容互動探測，藉由探測結果，評估該網站是
否為惡意網站伺服器(Malicious Web)
125

126. Page § 126
自動化
1. Collection : 主動型惡意網⾴頁誘捕系統 (Cont.)
Capture-HPC
探測主機1
探測主機N
送出網站(URL)探測命令
傳回探測結果與惡意程式樣本
送出網站(URL)探測命令
傳回探測結果與惡意程式樣本
在乾淨系統環境中，控制瀏覽器探測
網站，探測過程中利用系統之狀態改
變，判定是否為惡意網站
.
.
.

127. Page § 127
1. Collection : 主動型惡意網⾴頁誘捕系統實例說明
Landing Sites:
http://www.bit361.com/
http://www.bit361.com/bbs
Hopping Sites:
http://%77%2E%6A%73%67%75%61%6E%67%6A%69%2E%63%6E
http://%77%2E%6A%73%67%75%61%6E%67%6A%69%2E%63%6E
http://w.jsguangji.cn/03.htm
http://w.jsguangji.cn/456.htm
http://w.jsguangji.cn/1.jpg
http://w.jsguangji.cn/2.jpg
http://w.jsguangji.cn/dex.html
http://w.jsguangji.cn/click.js
http://js.tongji.linezing.com/1209024/tongji.js
Download Sites:
http://w.taogu.org.cn/a.exe
http://w.taogu.org.cn/b.exe
http://w.taogu.org.cn/c.exe
http://w.taogu.org.cn/d.exe

128. Page § 128
主動型惡意網⾴頁誘捕系統 – 探測記錄 (Cont.)
Capture-HPC 瀏覽惡意網⾴頁，執⾏行惡意程式碼，更改系統狀態
registry,5/8/2009 18:17:38.333,C:Program FilesInternet ExplorerIEXPLORE.EXE,SetValueKey,HKCUSoftwareMicrosoft
WindowsCurrentVersionExplorerFileExts.jsOpenWithProgidsJSFile,-1
registry,5/8/2009 18:17:38.333,C:Program FilesInternet ExplorerIEXPLORE.EXE,SetValueKey,HKCUSoftwareMicrosoft
WindowsCurrentVersionExplorerFileExts.jsOpenWithProgidsJSFile,-1
registry,5/8/2009 18:17:38.521,C:Program FilesInternet ExplorerIEXPLORE.EXE,SetValueKey,HKCUSoftwareMicrosoft
Internet ExplorerMainNotifyDownloadComplete,-1
process,5/8/2009 18:17:39.568,C:Program FilesInternet ExplorerIEXPLORE.EXE,created,1624,C:WINDOWS
system32wscript.exe
registry: SetValueKey 1340 C:Program FilesInternet ExplorerIEXPLORE.EXE - -1 HKCUSoftwareMicrosoftWindows
CurrentVersionExplorerFileExts.jsOpenWithProgidsJSFile
registry: SetValueKey 1340 C:Program FilesInternet ExplorerIEXPLORE.EXE - -1 HKCUSoftwareMicrosoftWindows
CurrentVersionExplorer
registry: SetValueKey 1340 C:Program FilesInternet ExplorerIEXPLORE.EXE - -1 HKCUSoftwareMicrosoftInternet Explorer
MainNotifyDownloadComplete
process: created 1340 C:Program FilesInternet ExplorerIEXPLORE.EXE - C:WINDOWSsystem32wscript.exe 3072
process: terminated 1340 C:Program FilesInternet ExplorerIEXPLORE.EXE - C:WINDOWSsystem32wscript.exe 3072
process: created 1340 C:Program FilesInternet ExplorerIEXPLORE.EXE - C:WINDOWSsystem32cmd.exe 3892
process: created 3892 C:WINDOWSsystem32cmd.exe - C:WINDOWSsystem32cmd.exe 3016
process: created 3016 C:WINDOWSsystem32cmd.exe - C:Documents and SettingsHPCLocal SettingsTemporary Internet Files
Content.IE58Y7MSOWWalg3[1].exe 2192
registry: SetValueKey 784 C:WINDOWSsystem32notepad.exe - -1 HKCUSoftwareMicrosoftNotepadlfEscapement

129. Page § 129
主動型惡意網⾴頁誘捕系統實例說明：
變形編碼JScript：http://w.jsguangji.cn/03.htm

130. Page § 130
實例說明：利⽤用PhonecyC分析Javascripts 與Shllcode分析
§ PhoneyC 分析Obfustrated Javascripts以及Shellcode

131. Page § 131
Shellcode
Heap spay：
可知駭客攻擊的是系統應用
程式Buffer Overflow弱點
util.printf function triggered
shellcode 惡意程式驅動條件
此為惡意網頁中經變形處理過的惡意網頁攻擊碼
131

132. Page § 132
Shellcode解析
Heap spay
util.printf function triggered shellcode
了解駭客的惡意程式秘密基地在哪
132

133. Page § 133
1. Collection : RFI Introduction
§ Remote File Inclusion (RFI，遠端檔案引⼊入) ，並⾮非是⼀一種新型攻擊，隨
著殭屍網絡的橫⾏行，現在已成為⼀一種攻擊主流。
§ 駭客/殭屍電腦，嘗試尋找有RFI弱點的網⾴頁應⽤用程式 網⾴頁伺服器(Web
Server)，控制受害網⾴頁伺服器執⾏行遠端可執⾏行碼，藉由執⾏行碼的運⾏行，
駭客將可⼊入侵受害電腦，取得控制權。
§ Why hackers loves vulnerable web server ?
(Web Server 為最好的受控殭屍電腦)
– ⾼高頻寬
– 硬體設備效能較好
– ⾼高可靠性，(99% is online service)
– 多⼈人使⽤用，良好的網⾴頁掛⾺馬植⼊入點
133

134. Page § 134
1. Collection: RFI Scripts 三⼤大類型
§ RFI Scripts 弱點探測：

135. Page § 135
1. Collection: RFI Scripts 三⼤大類型 (Cont.)
§ RFI Scripts 檔案下載：

136. Page § 136
1. Collection: RFI Scripts 三⼤大類型 (Cont.)
§ RFI Scripts 殭屍程式
( 含有新型 Exploit Codes )

137. Page § 137
惡意程式樣本搜捕⽅方法說明:
§ Honeynet (Nepenthes): 利⽤用Honeypot模擬系統弱點，誘
捕⾃自動化散佈的惡意程式，可收集惡意程式樣本與殭屍電腦。
§ Malicious Web Page (Capture-HPC): 利⽤用瀏覽器探測已遭
受掛⾺馬的網⾴頁，瀏覽過程中將會下載惡意程式樣本與封包流
量紀錄。
§ Compromised Web(RFI Detection): 某個網站具有可遠端
執⾏行網⾴頁指令(Scripts)的能⼒力，則容易形成HTTP Botnet (RFI
bot) ，已成為攻擊主流。
§ Others: 垃圾郵件URL Link、郵件附檔、Phishing、國外資
訊分享，地下組織。
137

138. Page § 138
2. Sample Analysis
Malware
DB
Anti-Virus
Behavior
Analysis
Static
Analysis
Sandbox
Real-Testbed
Sample
Profiling
Profile :
n Activities on OS : Registry, Process, File
n Connection on Network: Propagation, Remote Controller
n Signature Generation

139. Page § 139
2. Sample Analysis:
Binary Samples using CWsandbox and Anubis
1. Network Activity to get CC Information
2. Setup Virtual Lab and execute samples
for getting CC information

140. Page § 140
線上防毒軟體掃描
§ Virus Total : 線上掃毒⼯工具
http://www.virustotal.com/

141. Page § 141
惡意程式⾏行為分析– Tool Analysis
§ Binary Analysis (Static): IDA Pro, OllyDBG
– IDA Pro: http://www.hex-rays.com/idapro/
– OllDbg: http://www.ollydbg.de/
§ SysAnalyzer :
– automated malcode run time analysis application
– http://labs.idefense.com/software/malcode.php
§ Malcode Analysis Pack:
– 包含很多⼩小⼯工具，⽀支援惡意程式快速分析技巧
– http://labs.idefense.com/software/malcode.php#more_malcode
+analysis+pack

142. Page § 142

143. Page § 143
惡意程式樣本搜捕⽅方法⽐比較:
搜捕⽅方法 功能內容 偵測效⽤用
Honeynet
(Nepenthes)
l 收集自動化傳播惡意程式(樣
本)
l 收集攻擊來源資訊 ( Attack
Log)
l 判別惡意程式變種
l IRC CC Server
l 找出台灣的殭屍電腦
Malicious
Web
(Capture-
HPC)
l 收集網頁惡意程式 (樣本)
l 惡意網站探測過程 ( Log)
l 網站探測封包流量記錄 ( 封包)
l Malware File Server ( 大量樣
本)
l 惡意網域(黑名單)
l IRC CC HTTP CC
Server
l 新型惡意程式樣本
RFI
Detection
l 攻擊與控制Scripts (Scripts)
l 網站主機資料外洩
l 攻擊跳板
l RFI Bot ，持續掃描其他網站
l CC Server
Others
l 新型惡意程式樣本 l 台灣多數殭屍電腦，多會寄出
含有惡意連結的廣告信
143

144. Page § 144
2. Sample Analysis:
RFI Scripts Analysis using PHP analyzer
PHP analysis using function
hooking to get CC Information

145. Page § 145
CC information Analysis in RFI Scripts

146. Page § 146
3. Infiltration Feedback
Binary Samples
• Send the bot to join CC server
• Collect command, traffic and activities insides CC
Rishi
PHP
execute RFI Samples
Winxp
wireshark
xchat CC Samples
Snort-Inline
CC
Servers
Activities collecting and
analzing
(No execute)
Switch
Virtual Machine
IRC server
Pool
Feedback
Data-Feed
(Execute RFIScripts)
(Execute Samples)

147. Page § 147
3. Infiltration ( Cont.)
§ 收集 Live CC Server後，啟動Bot加⼊入CC Server，監控並記錄CC
Server 內所發⽣生的事件。
CC Observation

148. Page § 148
4. Feedback :
CC
Server

149. Page § 149
5. Analysis:
1. Malware Samples Statistics
2. Attacking Statistics
3. Infected hosts (By Honeynet)
4. CC Server information (Time, IP, port, account, ASN) (By Sample
Analysis)
5. Real Bots Connection (Inside the Botnets)
6. Botnet Activities (Insides the Botnets)
7. Attacked Targets (Insides the Botnets)
8. Command Controllers (Insides the Botnets)

151. Page § 151
1. 每⽉月惡意程式新增個數 (by Honeypot)
( Unique Samples: 23170 )
• 2009/01~ 2009/12 : 16813
• Collect malware binaries (50+), malicious PDF, malicious documents and
RFI scripts (php bot, perl bot) (5+) everyday

152. Page § 152
2. 每⽉月惡意攻擊連線統計

153. Page § 153
3. Infected Hosts 來源國家分布統計：
共有4677個攻擊來源，分屬36個國家 (2010/05/05 Update)
Taiwan
(1264攻擊來源)
27%
China (965)
21%
Russian
(373)
8%
Japan (349)
7%
Malaysia (227)
5%
Unite States (468)
10%
Canada (132)
3%
Romania(110)
2%
Korea(119)
3%
French(98)
2%
Others(336)
7%
German(236)
5%
攻擊來源國家分佈圖
Taiwan (1264攻擊來源)
China (965)
Russian (373)
Japan (349)
Malaysia (227)
Unite States (468)
Canada (132)
Romania(110)
Korea(119)
French(98)
Others(336)
German(236)

154. Page § 154
中繼站 Botnet種類 分佈國家
rep3le.locean-­‐indien.com IRC
(6667
TCP) France
symantec.loves.the.cock.pheer.biz IRC
(18067
TCP) US
getsome.minilauncher.net IRC
(62567TCP) CN
n0n0.d0d0n0.info IRC
(8585
TCP) US
213.202.205.171 IRC
(6667
TCP) DE
online.ircstyle.net IRC
(6667
TCP) Netherlands
manz.urshell.com IRC
(7000
TCP) US
123.dragonbreath.ru
IRC
(3195
TCP) US,
RU
KR
(Fast-­‐Flux)
camelot.blacknight.ie
WWW(80)
MailServer(25) Ireland
avgw.enternet.hu
SMTP
(25)
US
Web2.denirulz.com
www
(81
TCP)
Netherlands
capdr.com www
(80
TCP) DE
（h$p://capdr.com/feed/）
xx.nadnadzz.info
IRC
(10324
TCP)
US
(X)
Priv.gigaservice.it
IRC
(55003
TCP)
UE,
DE
CN
(Fast-­‐Flux)
nhg1.cjb.net
IRC
(4244
TCP) RU
shops.vaiosys.com
IRC
(1234
TCP)
US,
CN
xx.ka3ek.com
IRC
(8080
TCP)
CN, MY, US (Fast-Flux)
botz.noretards.com
IRC (65146 TCP) FR
Ganbang.my3jn.org
IRC
(43000
TCP)
US
Scan.kizlarevi.net
IRC
(4646
TCP)
DE
Wmim.solu3onofmsn.org
IRC
(1234
TCP)
US
Fix.drshells.com
IRC
(5555
TCP)
PORTUGAL
60.10.179.100
IRC
(8680
TCP)
CN
More than 100 bots in the C C Server

155. Page § 155
4. Live CC Server Statistics:
§ 45 live CC Servers (Testing on June 30th)，其中有三個
CC Servers，控制多過於300個Bots
US (8)
18%
JP (6)
13%
CN (7)
16%
RU (4)
9%
DE (4)
9%
FR (2)
4%
NL (2)
4%
MY (4)
9%
CA (3)
7%
Others (5)
11%
US (8)
JP (6)
CN (7)
RU (4)
DE (4)
FR (2)
NL (2)
MY (4)
CA (3)
Others (5)

156. Page § 156
4. Live CC Server 分佈 ( 2010/06/30 update)：
v
vvv vv
vv

157. Page § 157
5. Real Bots Connection to CC Server
§ 期間：2010/01/01 ~2010/06/30
§ 監控40~78個 CC Servers (HTTP, IRC) ，Bots 規模⾄至少60以上
14024
11095
26037
24165

158. Page § 158
5. Real Bots Inside the Botnet 國家分布
US:15.69%

159. Page § 159
6. Botnet Activities Inside the Botnet:
§ DDOS_CMD: 57223
– flood http blog.stsc.co.kr/1/1024518222.gif
– flood http 81.222.236.97/s88.exe
– flood udp CardServ2.com
– ddos_start tcp www.ddbp.ru 80
– Dd1 http://www.azncommunity.net/
– http_start http://nalog-pravo.net/index.php?article=3
– flood udp sat-navi.net’
– flood udp vipshara.dyndns.tv

160. Page § 160
6. Botnet Activities Inside the Botnet: (Cont.)
§ SCAN_CMD:5926
– Scan ‘Right Reserved’ Type: @karl For My List Of: 90,523 Files Slots: 0/2 Queued: 3
Speed: 52,525cps Next: 0m Served: 1,428,774 List: Jun 4th Search
§ SCAN_STATUS: 532
– scan_source='323605A3.645CFD8A.4BB43273.IP', scan_target='76.x.x.x
– scan_source='Konvics-D0C34FD9.fbx.proxad.net', scan_target='76.x.x.x’
– scan_source='Konvics-30B31C44.artem-catv.ru', scan_target='76.x.x.x',

161. Page § 161
6. Botnet Activities Inside the Botnet: (Cont.)
§ EXPLOIT_STATUS:2125
– exploit_source='5AA7BDF5.F38BEC2.7DB8B3C.IP', exploit_target='76.246.253.206

162. Page § 162
7. Botnet Controllers Inside the Botnets

163. Page § 163
8 Infected Hosts and Real Bots in Taiwan
§ 1264 Infected hosts in Taiwan to attack honeypots:
– Hinet : 867
– TANET: 261
– Others: 136
§ 221 bots in Taiwan to join CC Servers :
– Hinet : 142
– TANET: 47
– Others : 32

164. Page § 164
殭屍程式，數量越來越多，
快速變種能⼒力增加
量少帳號竊取程式
極為珍貴
具Antivirus偵測
能⼒力惡意程式網路釣⿂魚
惡意程式
變種快速，許多殭屍電腦感染此類惡意程式，
⺫⽬目前已收集多達35種變形
未知型惡意程式通常含有，新型病毒，已知病
毒變種，已知惡意程式，許多惡意程式防毒軟
體並無法即時提供病毒特徵碼，約有兩星期之
空窗期，
2010/03/01 ~ 2010/03/30

165. Page § 165
Observation 1: 惡意程式變種快速
§ 每個⽉月所流⾏行的惡意程式變種有所差異，惡意程式變種快速
– W32.Virut：共收集到65類變種
– Worm.Allaple：共收集到21類變種
– Trojan.IRCBot: 共收集到39類變種
– Trojan.Spybot: 共收集到18類變種
– Trojan.Zbot : 共收集到11類變種
– Trojan.MyBot: 共收集到24類變種

166. Page § 166
Observation 2: 駭客地下市場交易機制成熟
166
153$ paypal ONLY
700 DDoSeR bots for selling

167. Page § 167
Observation 3: Conflicker Samples ⼤大量流竄於網路
§ Malware Honeypot ⼤大量收集到Conflicker 惡意程式樣本 (W32/
Conficker!Generic )：
§ 2010/04 : 68
§ 2010/05 : 143
§ 2010/06 : 82
§ 每⽇日於17:00 ~19:00 有較⼤大的 Conflicker 攻擊量

168. 個資法與資訊安全

169. Page § 169
個⼈人隱私資料洩漏事件增加快速
§ 資料來源：http://datalossdb.org/statistics The Open Security Foundation's DataLossDB gathers
information about events involving the loss, theft, or exposure of personally identifiable information
(PII).

170. Page § 170
個⼈人隱私資料洩漏 – 事件起因

171. Page § 171
個⼈人隱私資料洩漏 – 資料種類
§ CCN : Credit Card Numbers
§ SSN: Social Security Numbers
§ NAA: Name and Address
§ MISC: Miscellaneous
§ ACC: Account information (Financial)
§ DOB: Date of Birth

172. Page § 172
個⼈人隱私資料洩漏研究調查
§ 根據美國CSI的調查數據顯示，公司機密資料外洩的
狀況有70%是由內部合法使用者所造成。
§ ICM的研究報告亦指出，有39%的員⼯工曾將客⼾戶資
料寄出，52%曾在離職時帶⾛走⼯工作資料。86%坦承習
慣性將郵件轉寄他⼈人
合法使用者才是真正危害公司安全的最⼤大因素

173. Page § 173
個⼈人資料保護法
§ 前身為電腦處理個⼈人資料保護法
§ 2010年4月27日 立法院三讀通過
§ 立法起因：政府機構、企業乃⾄至於媒體新聞報導，經常對於民眾的
個⼈人資料及隱私的蒐集、使用、揭露都有⼀一些不當的做法。個資法
將對不當使用他⼈人個資⾏行為，予以最低限度的明確規範
§ IT產業於個⼈人隱私資料之洩漏與誤用：鑒於電腦科技日新月異，利
用電腦蒐集、處理利用個⼈人資料之情形日漸普遍，加上商務⾏行銷廣
泛蒐集個⼈人資料，對個⼈人隱私權之保護，造成莫⼤大威脅。個資法無
論個⼈人資料以何種形式（紙本或電⼦子）外洩出去，企業都須擔負相
關責任
§ 對象：適用主體擴⼤大到所有自然⼈人以及法⼈人

174. Page § 174
資料來源：http://www.microsoft.com/taiwan/security/privacy/

175. Page § 175
個資法規範範圍：
§ 個⼈人資料：指⾃自然⼈人之姓名、出⽣生年⽉月⽇日、國⺠民⾝身分證統⼀一編
號、護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病
歷、醫療、基因 、性⽣生活、健康檢查、犯罪前科、聯絡⽅方
式、財務情況、社會活動及 其他得以直接或間接⽅方式識別該
個⼈人之資料
§ 資料處理：指為建⽴立或利⽤用個⼈人資料檔案所為資料之記錄、輸⼊入、儲
存、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送
§ 利用：指公務機關或非公務機關將其保有之個⼈人資料檔案為內
部使用或提供當事⼈人以外之第三⼈人。
§ 公務機關：指依法⾏行使公權⼒力之中央或地⽅方機關或⾏行政法⼈人。
§ 非公務機關：指前款以外之⾃自然⼈人、法⼈人或其他團體

176. Page § 176
企業用⼾戶在保護個資外洩相關法條
§ 第⼗十⼆二條：公務機關與非公務機關若致使個⼈人資料被竊取、洩
漏、竄改或其他侵害者，應查明後以適當⽅方式通知當事 ⼈人
§ 第五條：個⼈人資料的蒐集、處理和利用，應尊重當事⼈人之權
益，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正
當合理的關連。
§ 不論是⼈人為蓄意疏失或外部⼊入侵，造成企業的客⼾戶個資外洩
，企業可能要負擔最⾼高總額2億元的民事賠償責任，甚⾄至可能
要面對5年以下的有期徒刑

177. Page § 177
個資法重點整理
§ ⼤大眾傳播業者基於新聞報導的公益目的，⽽而蒐集個⼈人資料，可
以不用告知當事⼈人。
§ 非公務機關使用或處理個⼈人資料，如果與公共利益有關，或是
個⼈人資料取自於⼀一般可得來源，且使用該資料有比保護資料更
重⼤大利益，則不需要經過當事⼈人同意即可使用；不過當事⼈人可
以主動請求刪除、停⽌止使用相關個⼈人資料。
§ 個資法中規定，單純的個⼈人或家庭活動，以及在公開場所或公
開活動中，所蒐集、處理或利用的個⼈人影音資料，只要沒有與
其他個⼈人資料結合，都不適用個資法。

178. Page § 178
個資法 : 當事⼈人之權利
§ 個資法修正案第3條: 對個⼈人資料⽽而⾔言，組織有權責依對於當事⼈人所有的
請求作回應
§ 個資法修正案第17條: 組織應將個⼈人資料檔案名稱、機關的聯絡⽅方式、類
別及利用目的等事項公開於電腦網站，或以其他適當⽅方式供公眾查閱；
其有變更者亦同
§ 個資法修正案第10條: 當組織回應當事⼈人時，應注意不要造成當事⼈人過重
的負擔；組織應依當事⼈人之請求，就其蒐集之個⼈人資料，答覆查詢、提
供閱覽或製給複製本
§ 個資法修正草案第11條第1、5項: 組織為維護個⼈人資料之正確，應依當事
⼈人之請求更正或補充之
§ 個資法修正案第11條第2、3、4項:
– 個⼈人資料正確性有爭議者，應主動或依當事⼈人之請求停⽌止處理或利用
– 個⼈人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事⼈人之請求，刪除、停⽌止處
理或利用該個⼈人資料
– 違反法律規定蒐集、處理或利用個⼈人資料者，應主動或依當事⼈人之請求，刪除、停⽌止蒐
集、處理或利用該個⼈人資料

179. Page § 179
個資法實例應用
§ 有⼈人在路上獲贈小禮物⽽而填寫個⼈人資料，蒐集這些資料的公
司在修法⽣生效⼀一年內應告知當事⼈人蒐集的目的，否則不能再
利用。
§ 因出售貨品取得客 ⼾戶的個⼈人資料，只能用在與營業、服務的
目的上，業者如利用資料⾏行銷商品遭拒，業者即須停⽌止，且
須幫客⼾戶支付拒絕所需的費用，並須提供民眾拒絕⾏行銷之⽅方
式，以及支付所需費用（第20條）。
§ 銀⾏行與電信業者中的不肖職員，來盜取公司內的個⼈人資料，
再以每筆七⽑毛到五元不等的代價賣給詐騙集團，不肖職員
與企業主皆需負起責任

180. Page § 180
資料外洩管道
§ 外部⼊入侵
§ 委外廠商洩漏
§ 內控程序疏失與內部⼈人員洩漏
§ 資訊設備報修或是遺失
§ 惡意程式感染
– 使用者瀏覽惡意網站⽽而被植⼊入惡意程式，資訊洩漏標的為
網路銀⾏行和線上遊戲
– 點選惡意電⼦子郵件和即時訊息內所含的URL連結時，會連
結上惡意網站

181. Page § 181
資訊洩漏企業因應措施：
企業在制度、管理、技術、員⼯工、委外、標準作業
程序應重訂定資料保護機制
個資外洩
風險評估
訂立資料
處理流程
個⼈人資料
保護監控
保護機制
驗證
員⼯工電腦內資料
集中式資料系統
定義資料存取權限與⽅方法
定義資料保存⽅方法
定義資料的傳輸安全
分析網路出⼝口流量內容
檢查郵件內容
資料分級加密
身分識別安全
資料交換安全
了解資料類型
資料蒐集過程
資料保存⽅方法
資料使用⽅方法
資料銷毀準則
驗證個⼈人資料保護程序
審查管理程序之稽核措
施、矯正與預防措施

182. Page § 182
個⼈人資料洩漏防護實例:
§ 美國醫療院所，不同科別的醫⽣生是不能跨單位進⾏行病患資
料的查詢。醫院的某位由腫瘤科轉調婦產科的醫⽣生，基於
持續追蹤病患，以提供其精神支持及相關醫療建議的需
求，要求繼續保留其查閱既有腫瘤病患資料的權⼒力。
§ 為了平衡資安法令與醫療作業需求兩⽅方面的⽭矛盾，該醫院具
有所有病⼈人完整病歷資料庫存取權限，院⽅方允許該位醫⽣生擁
有既有腫瘤病患查閱權限，病患檔案經過加密，該位醫⽣生需
輸⼊入特定解碼密碼，將檔案解密，只能夠在特定電腦，利用
醫院網路瀏覽

183. Page § 183
個⼈人資料保護管理準則 – 管理階層
§ 組織可依據個資法之條⽂文，制訂組織內之政策及指派執⾏行⼈人員
§ 建立個⼈人資料保護管理程序，即依據政策，規劃管理程序相關
事項，包括指導⽅方針、風險識別與分析、角⾊色與權責、應變程
序
§ 組織⼈人員之教育訓練：
– 組織內的員⼯工可瞭解個⼈人資料保護管理程序的重要性及好處
– 組織內的員⼯工可瞭解個⼈人資料保護管理程序的角⾊色及權責
– 組織內的員⼯工可瞭解當違反個⼈人資料保管理系統時，可能會發⽣生的結果
– 個⼈人隱私資料保護教育訓練可依照不同角⾊色及權責規劃設計，可區分為
初階教育訓練、進階個⼈人資料教育訓練及專業教育訓練等

184. Page § 184
個⼈人資料保護管理準則 – 公司員⼯工
§ 不使用非⼯工作目的相關個⼈人資料
§ ⽂文件需建立分級制度，重要⽂文件需以密碼保護
§ 重要⽂文件傳輸時需郵件加密傳送
§ 如非必要，請不要將所有帳號密碼記錄於同⼀一份⽂文件，該⽂文
件建議以密碼保護(TrueCrypt+KeePass)
§ 不以相同帳號密碼註冊其他網站/匯款系統
§ 不在公眾場合存取修改⼯工作相關資料

185. 鄭毓芹
Julia.yc.cheng@gmail.com