botfox – 基於瀏覽器與社交工程之殭屍網路研究 - hitcon · 2009-07-21 ·...
TRANSCRIPT
![Page 1: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/1.jpg)
Botfox – 基於瀏覽器與社交工程之殭屍網路研究Botnet based on Browser and Social Engineering
![Page 2: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/2.jpg)
動機
![Page 3: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/3.jpg)
你知道嗎?現行的安全防護不像你想像的那般健壯 ...
![Page 4: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/4.jpg)
實驗證實,『它』可以繞過目前所有常見的安全防護 ...
![Page 5: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/5.jpg)
你相信嗎?『它』的技術含量低到只有我用『它』 ...
![Page 6: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/6.jpg)
你相信嗎?『它』的建置成本很低很低 ...
![Page 7: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/7.jpg)
你認同嗎?大腦本身就是一種永遠可以被利用的 0day...
![Page 8: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/8.jpg)
自我介紹
![Page 10: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/10.jpg)
中研院
自由軟體授權
台灣駭客年會講師
Wow!USB 隨身碟防毒
Wow!ScanEngine 掃毒引擎
Wow
!ARP
防護
軟體
經濟學
混沌
複雜
程式
設計
師
系統管理師
資訊
安全
實習
生自由軟體鑄造場
FreeBSD 官方中文文件維護者
![Page 11: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/11.jpg)
主題
![Page 12: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/12.jpg)
來到Web 2.0 的時代
歡迎
![Page 13: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/13.jpg)
[email protected]://www.flickr.com/photos/hawaii/2089328125/
![Page 14: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/14.jpg)
[email protected]://www.flickr.com/photos/pablolarah/3549205887/
![Page 15: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/15.jpg)
[email protected]://www.flickr.com/photos/libraryman/2528892623/
![Page 16: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/16.jpg)
[email protected]://www.flickr.com/photos/daysies/2554510463/
![Page 17: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/17.jpg)
來到Cloud 的時代
歡迎
![Page 18: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/18.jpg)
[email protected]://www.flickr.com/photos/mediaeater/3476903211/
![Page 19: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/19.jpg)
[email protected]://www.flickr.com/photos/jaxmac/193001859/
![Page 20: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/20.jpg)
Power . Robust . Convenience
![Page 21: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/21.jpg)
當一切都變得不再單純 ...
![Page 22: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/22.jpg)
![Page 23: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/23.jpg)
![Page 24: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/24.jpg)
來到Web 2.0 的時代
歡迎2.0 的時代Bot
(aka. CloudBot)
![Page 25: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/25.jpg)
Bot 1.0
![Page 26: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/26.jpg)
Attacker
C&C Server
Zombies
Victims
![Page 27: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/27.jpg)
Bot 2.0(aka CloudBot)
![Page 28: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/28.jpg)
Attacker
Tor
Legitimate Server
![Page 29: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/29.jpg)
Bot 1.0 Bot 2.0
![Page 30: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/30.jpg)
Botnet 的定義
指由 Malware 操控平台所成形成的一種 Command and Control (C&C)Topology 。透過 Botnet 架構讓 Hacker 能夠大量且自動化地操控 Bot 。
來源 : Jeremy Chiu (aka Birdman)
Workshop on Understanding Botnets of Taiwan 2009 第一屆台灣區 Botnet 偵測與防治技術研討會
![Page 32: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/32.jpg)
演化趨勢推斷未來模式
![Page 33: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/33.jpg)
以 Protocol 分群
![Page 34: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/34.jpg)
Protocol1. IRC2. HTTP3. P2P4. Instant Messenger (MSN etc.)5. Own communication
![Page 36: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/36.jpg)
Botnet Trends Analysis1. 高隱匿、難追蹤2. 利用社交工程3. 開始注意嵌入式設備4. 以感染的數量換取其它的優勢
Photo:[email protected]://www.flickr.com/photos/wileeam/2410989725/
![Page 37: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/37.jpg)
http://dronebl.org/blog/8
Router Botnet
![Page 38: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/38.jpg)
http://dronebl.org/blog/8
•* called 'psyb0t'•* maybe first botnet worm to target routers and DSL modems•* contain shellcode for many mipsel devices•* not targeting PCs and Servers•* user multiple strategies for exploitation, such as bruteforce user/pass•* harvests usernames and passwords through deep packet inspection•* can scan for exploitable phpMyAdmin and MySQL servers
![Page 39: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/39.jpg)
回到主題
![Page 40: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/40.jpg)
Botfox – 基於瀏覽器與社交工程之殭屍網路研究Botnet based on Browser and Social Engineering
![Page 41: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/41.jpg)
提出一個對於未來演化的可能以及早對未來作出因應對策
![Page 42: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/42.jpg)
Botfox *Research*
1. 基於瀏覽器2. 基於社交工程3. 基於純 JavaScript語言4. 基於 Web 2.0/Cloud
Photo:Sparrow*@flickr.comhttp://www.flickr.com/photos/90075529@N00/140896634
![Page 43: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/43.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
![Page 44: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/44.jpg)
基於社交工程1. 人性是資訊安全最弱的一環2. 修補大腦比修補軟體漏洞來得難3. 即使訓練有素,仍難敵好奇心驅使
![Page 45: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/45.jpg)
基於純 JavaScript1. 網頁標準語言之一2. 跨瀏覽器的特性3. 防毒軟體難以分析其惡意程式4. 不需額外開啟通訊埠 (port)
![Page 46: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/46.jpg)
基於 Web 2.0/Cloud1. 運用 Web 2.0 的發文機制2. 使用 Cloud 的效能與穩定性3. 低成本開發,不需設計 Protocol 與建置 C&C4. 基於合法網站為掩護
![Page 47: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/47.jpg)
Attacker
Tor
Legitimate Server
![Page 48: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/48.jpg)
Attacker
Tor
Legitimate Server
![Page 49: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/49.jpg)
Attacker
Tor
Legitimate Server
如釣魚般等待上餌
![Page 50: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/50.jpg)
Attacker
Tor
Legitimate Server
![Page 51: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/51.jpg)
Attacker
Tor
Legitimate Server
利用受害者的名義及社交網路散佈 (如 Email)
![Page 52: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/52.jpg)
Attacker
Tor
Legitimate Server
![Page 53: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/53.jpg)
Attacker
Tor
Legitimate Server
![Page 54: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/54.jpg)
Attacker
Tor
Legitimate Server
因有別於其它 SPAM 方式,使得釣魚成功率提高
![Page 55: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/55.jpg)
Attacker
Tor
Legitimate Server
![Page 56: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/56.jpg)
Attacker
Tor
Legitimate Server
![Page 57: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/57.jpg)
Attacker
Tor
Legitimate Server
在合法網站上的 C&C 分散佈置 (如Blog,Twitter,Plurk)
![Page 58: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/58.jpg)
Attacker
Tor
Legitimate ServerMsg Msg
![Page 59: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/59.jpg)
![Page 60: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/60.jpg)
對 ant.openfoundry.org進行 DDoS攻擊
![Page 61: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/61.jpg)
Attacker
Tor
Legitimate ServerMsg Msg
![Page 62: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/62.jpg)
Attacker
Tor
Legitimate ServerMsg Msg
Bots 不定時向C&C收取訊息
![Page 63: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/63.jpg)
Attacker
Tor
Legitimate ServerMsg Msg
![Page 64: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/64.jpg)
Attacker
Tor
Legitimate ServerMsg Msg
![Page 65: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/65.jpg)
Attacker
Tor
Legitimate ServerMsg Msg
![Page 66: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/66.jpg)
Attacker
Tor
Legitimate ServerMsg Msg
![Page 67: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/67.jpg)
Attacker
Tor
Legitimate ServerMsg Msg
![Page 68: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/68.jpg)
Attacker
Tor
Legitimate ServerMsg Msg
![Page 69: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/69.jpg)
DEMO
![Page 71: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/71.jpg)
![Page 72: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/72.jpg)
![Page 73: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/73.jpg)
![Page 74: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/74.jpg)
AntiVirus
1. JavaScript 的特性,使得在判斷上有許多困難。
2. 無任何API Hooks 。
3. 無任何 Registry 。
4. 無任何DLL 。
T牌、K牌、 S牌、 A牌、 N牌 ...等,
全數通過 VirusTotal 的廠商。
![Page 75: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/75.jpg)
![Page 76: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/76.jpg)
Rootkit Detection
1. JavaScript 的特性,使得在判斷上有許多困難。
2. 無任何API Hooks 。
3. 無任何 Registry 。
4. 無任何DLL 。
RootkitRevealer 、 RkHunter 、GMER 、 Panda Anti-Rootkit 、 Sophos Anti-Rootkit 、
Rootkit Hook Analyzer 、 IceSword 、 Avira Rootkit Detection 、 Rootkit UnHooker 、
AVG Anti-Rootkit 、 McAfee Rootkit Detective 、DarkSpy 、 F-Secure BlackLight 。
![Page 77: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/77.jpg)
![Page 78: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/78.jpg)
![Page 79: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/79.jpg)
Process Explorer
1. 基於瀏覽器。
2. 不需額外的 Process 。
3. 無任何DLL 。
Process Explorer 、 Process Monitor 、 Combofix 、 Hijackthis 、 SREng 、 EFIX、
Runscanner 、 Autoruns 。
![Page 80: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/80.jpg)
![Page 81: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/81.jpg)
![Page 82: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/82.jpg)
![Page 83: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/83.jpg)
Network Monitor
1. 基於瀏覽器,不需開啟 Port 。
2. 使用 HTTP/HTTPs 。
3. 使用正常DNS 。
4. 封包/字串無任何惡意內容。
TCPView 、 WireShark 、 Nmap 。
![Page 84: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/84.jpg)
![Page 85: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/85.jpg)
Honeypots
1. 被動式 Honeypot → 使用社交工程手法。
2. 主動式 Honeypot → Bots間不溝通,避免被名單搜集。
3. C&C使用正常網站,難以區別正常、異常瀏覽。
4. 封包/字串無任何惡意內容。
Capture-HPC 、 Tinyhoneypot 、 Capture BAT 、Google Hack Honeypot 、
Honeyd 、 Honeytrap 、 Honeywall 、 Honeyclient 。
![Page 86: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/86.jpg)
正 必須成為Botnets 的一員
![Page 87: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/87.jpg)
Bot彼此間不直接溝通C&C 網站難以區別正常、異常瀏覽邪
![Page 88: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/88.jpg)
![Page 89: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/89.jpg)
![Page 90: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/90.jpg)
Log analysis / Log correlation
![Page 91: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/91.jpg)
Detecting Botnets Through Log Correlation (2006)
![Page 92: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/92.jpg)
![Page 93: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/93.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
BotFox
![Page 94: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/94.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
![Page 95: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/95.jpg)
BotTracer
BotTracer: Execution-based Bot-like Malware Detection (2008)
![Page 96: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/96.jpg)
BotTracer
![Page 97: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/97.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
BotFox
![Page 98: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/98.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
![Page 99: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/99.jpg)
BotSniffer
BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic (2008)
![Page 100: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/100.jpg)
BotSniffer
![Page 101: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/101.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
BotFox
![Page 102: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/102.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
![Page 103: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/103.jpg)
Behavior/Log Analysis
1. 基於瀏覽器,非常容易模擬正常行為。
2. 瀏覽器常為白名單的一員。
3. 使用 HTTP/HTTPs ,封包/字串無任何惡意內容。
4. 使用正常DNS 。
BotSniffer 、 BotTracer 、 Log Analyzer 。
![Page 104: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/104.jpg)
![Page 105: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/105.jpg)
Detecting DDNS BotsAssumption:1. For DDNS, botnets tend use subdomains; legitimate directories use subdirectories2. Use SLD/3LD-ratios to identify botnet traffic
Botnet Detection and Response: The Network is the Infection (2005)
![Page 106: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/106.jpg)
Detecting DDNS BotsAssumption:1. For DDNS, botnets tend use subdomains; legitimate directories use subdirectories2. Use SLD/3LD-ratios to identify botnet traffic
![Page 107: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/107.jpg)
Monitoring Group Activities
Differences between Botnet and Legitimate DNS
Botnet Detection by Monitoring Group Activities in DNS Traffic (2007)
![Page 108: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/108.jpg)
Monitoring Group Activities
Differences between Botnet and Legitimate DNS
![Page 109: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/109.jpg)
Anomaly Detection to DNS Traffic
Assumption: Bots typically employ DDNS
Methods:1. High DDNS query rates may be expected because botmasters frequently move C&C servers.2. looking for abnormally recurring DDNS (NXDOMAIN). Such queries may correspond to bots trying to locate C&C servers that have been taken down.
Identifying Botnets Using Anomaly Detection Techniques Applied to DNS Traffic (2008)
![Page 110: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/110.jpg)
Anomaly Detection to DNS Traffic
Assumption: Bots typically employ DDNS
Methods:1. High DDNS query rates may be expected because botmasters frequently move C&C servers.2. looking for abnormally recurring DDNS (NXDOMAIN). Such queries may correspond to bots trying to locate C&C servers that have been taken down.
![Page 111: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/111.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
BotFox
![Page 112: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/112.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
![Page 113: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/113.jpg)
Cooperative behavior
A proposal of metrics for botnet detection based on its cooperative behavior (2007)
![Page 114: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/114.jpg)
Cooperative behavior
![Page 115: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/115.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
BotFox
![Page 116: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/116.jpg)
基於瀏覽器1. 非常容易模擬正常行為 ( 基於 Port 80, 443 的實現 )2. 跨平台特性 (手持式裝置、手機等 )3. 最常使用的應用程式之一4. 白名單的常客5. 完全使用正常的DNS查詢
![Page 117: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/117.jpg)
DNS Traffic
1. 基於瀏覽器,非常容易模擬正常行為。
2. 使用正常DNS 。
![Page 118: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/118.jpg)
![Page 119: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/119.jpg)
Spam Signatures
Spamming Botnets: Signatures and Characteristics (2008)
![Page 120: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/120.jpg)
Spam Signatures
![Page 121: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/121.jpg)
SPAM Signatures
1. 使用受害者的線上郵遞系統 → 正當來源, SPAM特徵低。
2. 使用多個線上郵遞系統,如Gmail 、Yahoo → 降低同源特徵。
3. 還有很多方法可以避開 SPAM特徵。
![Page 122: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/122.jpg)
![Page 123: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/123.jpg)
IRC Analysis
1. 不使用 IRC protocol 。
2. 很多網路環境禁用 IRC protocol 。
3. 許多安全工具視 IRC封包為可疑/惡意封包。
![Page 124: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/124.jpg)
![Page 125: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/125.jpg)
P2P Analysis
1. 不使用 P2P protocol 。
2. 不需與 P2P-filter攻防戰。
3. 不需額外開 Port ,降低被偵測的機率。
4. 可運行於僅允許HTTP/HTTPs 的網路環境。
![Page 126: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/126.jpg)
![Page 127: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/127.jpg)
Open Proxy
1. 不使用 Open Proxy 。
2. 不需額外開 Port ,降低被偵測的機率。
![Page 128: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/128.jpg)
![Page 129: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/129.jpg)
VPN
1. 通常 VPN 會允許HTTP/HTTPs 。
![Page 130: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/130.jpg)
![Page 131: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/131.jpg)
Content Filter
1. 封包/字串無任何惡意內容 → 防止關鍵字偵測。
2. 使用正常DNS → 防止DNS黑名單。
3. JavaScript 的特性使的關鍵特徵難以擷取。
![Page 132: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/132.jpg)
Google Chrome
![Page 133: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/133.jpg)
Opera
©Opera software
![Page 134: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/134.jpg)
Microsoft IE
©Microsoft
![Page 135: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/135.jpg)
更甚者
![Page 136: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/136.jpg)
地理定位技術Geolocation
©Opera software
©Mozilla
©Microsoft
©Apple
![Page 137: Botfox – 基於瀏覽器與社交工程之殭屍網路研究 - HITCON · 2009-07-21 · Botnet的定義 指由Malware操控平台所成形成的一種Command and Control (C&C) Topology。透過Botnet架構讓Hacker能夠大量且自動化地操控Bot。](https://reader033.vdocuments.site/reader033/viewer/2022041915/5e691c209ab11c0d363e6719/html5/thumbnails/137.jpg)
結論
1. 歡迎來到 Bot 2.0 (aka CloudBot) 的時代。
2. 『它』可以繞過目前所有常見的安全防護。
3. 技術量低、成本低。
4. 大腦本身就是一種永遠可以被利用的 0day ( 社交工程手法 ) 。
5. 雲端運算的時代,也意謂著 更強大、更穩健、隨開即用之跨平台惡意程式時代的來臨。