onHacks

对，我突然决定做讲者而非暖席者。

题目是 “A DIY Botnet Tracking System”. 我将会分享一下自己建的殭尸网络监控系统。我将会分享一下自己对于殭尸网络监控系统的心德，有机会会碰上的问题。

如果你打算出席 ISF 2009，一定要来聊聊及饮兩杯！

Random Chatter ISF2009

分享数篇关于殭尸网络的新闻：

ClickForensics : Botnets Accounted for 42.6 Percent of All Click Fraud in Q3 2009.

Symantec : Botnets Generate 87.9% of Total Spam Messages

DarkReading : Botnet Unleashes Variety Of New Phishing Attacks <– 这个在冒充微软的客户服务.

Botnet News

OWASP简介：

OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风 险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。 　　近几年，OWASP峰会以及各国OWASP年会均取得了巨大的成功，推动了数以百万的IT从业人员对应用安全的关注以及理解，并为各类企业的应用安全 提供了明确的指引。作为OWASP中国的第一届年会，OWASP安全专家将为大家带来精彩的演讲

CISRG简介：

CISRG是一个活跃的技术研究团队，团队成员都拥有自己特定的技术研究方向，目前的研究方向主要有：操作系统内核、逆向工程、漏洞挖掘、WEB漏洞挖掘及漏洞利用、渗透测试、信息搜集与社会工程。

议题征集范围（不限于以下范围）

• 应用程序威胁建模及其防御技术
• WEB2.0方向的安全技术
• WEB应用程序漏洞挖掘及分析
• 数据及数据库安全
• 浏览器安全（Firefox、IE、Safari、Chrome等）
• 操作系统研究（Vista、Windows7）
• 逆向工程
• 反恶意代码前瞻性技术
• 漏洞挖掘技术
• 智能移动设备安全研究
• 硬件设备安全性研究
• 取证分析
• 入侵检测
• 点对点网络
• 渗透测试

参会者票价

10月31日前报名：￥300
10月31日后报名：￥500

付款方式

户名：杭州安恒信息技术有限公司
账号：77818100000385
开户行：杭州银行科技支行
交款事项：写明姓名，注明年会

会议时间安排

2009年11月12日
2009年11月13日
全天两日

会议地点

中国 上海
详细地址：待定

联系我们

联系人：刘彦俊（小姐）
联系电话：+86 137 1380 7300
电子邮箱：rip@owasp.org

===

I should be there. Are you coming? =)

Random Chatter ISF2009

早前我就写了关于虚拟环境检测的文章 检测虚拟机和蜜罐方法的概念 。这次就谈实际的。既然我是用 VirtualBox，就略略讲其中比较容易的方法之一：

在注册表：

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\

VideoBiosVersion = VBOX   – 1

SystemBiosVersion = Sun xVM VirtualBox Version 2.1.4_OSE VGA BIOS
Sun xVM VirtualBox Version 2.1.4_OSE VGA BIOS
Sun xVM VirtualBox Version 2.1.4_OSE
Sun xVM VirtualBox Version 2.1.4_OSE
VirtualBox Version 2.1.4_OSE VBE Display Adapter
VirtualBox Version 2.1.4_OSE VBE Display Adapter

以上的存在会暴露 VirtualBox 的存在。当然还有其他：

HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\FADT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARe\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0

Identifier = VBOX HARDDISK

HKEY_LOCAL_MACHINE\HARDWARe\DEVICEMAP\Scsi\Scsi Port 1\Scsi Bus 0\Target Id 0\Logical Unit Id 0

Identifier = VBOX CD-ROM

在装置管理员也写得很清楚。用程式查问不困难。

DVD/CDROM : VBOX CD-ROM
Harddisk : VBOX HARDDISK

这都是其一的方法而已。Peter Ferrie 的研究报告可以看看。

以下是一些网络资源：Peter Ferrie 的 Virtual Machine Threats 及 PPT档 ，及 Marshall Fryman 的博文这里及这里，以及一个codeproject示范。希望能對大家有用。

===

来个小小的更新。最近这两个月都没有现身，主要是九月整个月都为私人事奔波，而十月则是为了准备新工作而忙碌（我以前是为 Microsoft Office SharePoint Server 伺服器做防毒软件的，中国没有甚麽人用的。）不过，这份新工作并不是关于反罪恶而是云端安全。

云端安全呀！没有人没听过吧？

新的工作是关于在 Windows Azure 上的云端计算。可惜，话题要点到即止了。放心了，我还是很着重对反罪恶的研究。=)

Testing Virtualization

Avert Labs 出了一篇新研究：“Inside the Password-Stealing Business: the Who and How of Identity Theft.” 。 对地下经济有兴趣的人，应该要去看一看！中文版好像下载不了(http://www.avertlabs.com/research/blog/index.php/2009/09/24/inside-the-password-stealing-business/)。

游戏市场一直都是很有前途的市场，这对于地下市场亦然。即使你是正道的，游戏市场真的可以赚很多钱。另一方面，你应该没有听过别人盗版 “Microsoft High Performance Computing Cluster” ，对吧？但其实他们是卖得挺好的，在中国也是。高效运算都是一个很有潜力的市场呀！

另外就是，现在的病毒好像要你中毒还不够 (Zbot)，还想帮你惹官非。大家都知道中了毒的电脑会被拿来做罪犯的踏脚石，所以作为受害者你要证明自己是受害者。Zbot 会把你的电脑的注册表的 HKEY 根删掉，直接废掉电脑。很正常地，你会格式化并重装电脑，那时候甚麽证据都消失了。坐牢呀~

Malware Paper

I disappeared again after my last post talking about spam collections and DNS misconfigurations. Today, I read log0’s post which he is calling for bots/ tools for his security research. Did you see anything familiar to you? How log0 is showing his contact to us, “log0 [ at ] gmail [ dot ] com”. We were using this format for quite some time, after we realized that showing full form of our address (eg. spam@onhacks.org) increases the chance that our email get exposed to spammers.

However, these kinds of representation already appeared on the Internet for last few years. Did you ever think of one fact is that: A clever spammers just need to modify few lines of code in their bots, changing the target strings they are looking for, then everything is just working as the same as in the past.

The most interesting thing is that RSnake has blogged his finding on this form of email representation last Tuesday. In short, he has googled with “at gmail dot com”, and surprisingly there are at least 6 email addresses in the first result page. There are many variations, but they all have the same pattern, here are some examples:

spam  at  onhacks  dot  com
spam [at] onhacks [dot] com
spam (at) onhacks (dot) com
spam <at> onhacks <dot> com
spam “at” onhacks “dot” com

(Obviously, I am trying my best to let spammers know my address)

I spent an hour to write a very simple PoC parser to retrieve email addresses from the result page mentioned above. Obviously there are at least 4 valid email addresses, it is not too hard to get those email addresses by bots. The parser is just looking for 1 ‘at’ and 1 ‘dot’ keyword appears sequentially in the pattern: [any word] “at” [any word] “dot” [any word]. The code is poorly written, I will improve it later this week.

It is not so difficult to discover the pattern between these email addresses, just a piece of cake even for primary students. Then, what kind of representation we should use to show our email address on the Internet? Display the jpeg of the email? Without adding noises to the image, it is as easy as just performing text recognition. With noises on the image, it is more like CAPTCHA. Since most of the CAPTCHA solver aims on specific type of CAPTCHA, it may takes more time to decrypt an “encrypted” email using CAPTCHA. However, it is not unsolvable.

What is the takeaway then? Better not showing your address on web! Or encrypt it into CAPTCHA, at least your email address has less chance being captured by spammers.

Email Email, Gmail, Spam

早前提到，我在写一个全自动化的殭尸追踪功具（希望整理以后公开给大家用）。

我需要大量不同种类的 HTTP 殭尸样本。最近蜜罐收来的都不是很有用的 HTTP 样本。

你有没有一些 HTTP 殭尸的  PCAP 或样本 可以分享给我? 请送去 log0 [ at ] onhacks [dot] org . 谢谢!

Malware Dataset

SecurityTube – 有关安全的影视教学, 有兴趣者去忙一下!

Random Chatter Tutorial

由 Peter Cheung 和 Roland Cheung 带领的香港区 Honeynet 小队写了两篇关于高互动性蜜罐的研究，一个 Windows 一个 Linux。其实外来不是很多关于这裡的详细指导，所以我才写了那篇。他们就更用心，放了很多图教导如何去分析一个受攻击后的蜜罐。我鼓励有兴趣学习的人不妨去偷师一番。

Windows

http://www.honeybird.hk/project/wp-content/uploads/2009/04/honeypot-study-windows-2008.pdf

Linux

http://www.honeybird.hk/project/wp-content/uploads/2009/02/honeypot-study-linux-2008.pdf

(我真的不懂如何翻译 Forensics… 蜜罐法医学? ) 更新：EvilOctal 的 冰血封情 告知，原来是”取证”! 谢谢. =)

Honeypot Forensics

大型 PCAP 记录, 好东西！

MU Dynamics 从 SHMOO Group 那边得到并公开了一大堆 PCAP 记录，并加上了 index ，共有 15 GB，26.3 百万 封包。据 SHMOO Group 说，（以下是我企图翻译的：）”这堆档裡记录了 DefCon 的 Capture the Flag 的封包。SHMOO Group 公开是为了鼓励更多的安全产品的设计及研究。” 为了研究，大家来点创意用用它吧！

大家不一定知道，SHMOO Group 的 SHMOOCON 有很多高质素和每年都有安全界裡的高人在那裡演说的，即管去看看吧。

Testing Dataset, Forensics, PCAP