Abuse-Reporting bei NetCologne - Arbeitskreis E-Mail

16.9.2010
8th German Anti Spam Summit
Workshop: AK-Email
Abuse-Reporting bei NetCologne
Gunther Nitzsche
NetCologne abuse reporting
Agenda
eingehende Reports
- ANANAS
- APE
ausgehende Reports
-
22.09.2010
das Honeypot-System
PHREAK-Erweiterung
Honeypot-Emails
Ergebnisse
2
NetCologne abuse reporting
eingehende Reports
ARF / X-ARF
• betrifft bislang (fast) nur Spam-Beschwerden
• wenige verschiedene externe Beschwerdeführer
• (Abusix / AOL / woody.ch / abuse.mail.dk … )
• meist ARF – Reports, X-ARF noch kaum genutzt
• etwa 10.000 Beschwerden / Monat
22.09.2010
3
NetCologne abuse reporting
abuse management tools
A.N.A.N.A.S.: Beschwerden werden halbautomatisch bearbeitet,
(X-)ARF-Information wird ausgewertet.
22.09.2010
4
NetCologne abuse reporting
22.09.2010
5
NetCologne abuse reporting
Ausblick: APE (abuse processing engine)
Kombination aus eigenem Sender-based
Reputationsmechanismus, ARF/X-ARF EmailAnalyse und Abuse-Datenbank mit Punktesystem
führt zu vollautomatischer Abuse-Bearbeitung
22.09.2010
6
NetCologne abuse reporting
ausgehende Reports
der NetCologne Honeypot:
Die NetCologne GmbH betreibt einen Honeypot-Server,
der in verschiedenen IP-Adressnetzen „lauscht“.
Ziel ist es, Angriffe durch PC‘s aus NetCologne – eigenen
IP-Adressräumen zu erkennen und darauf (mit Sperren
und Informieren des Angreifers) zu reagieren.
PHREAK:
Program for honeypot induced reactions ending in
automated kill
22.09.2010
7
NetCologne abuse reporting
ausgehende Reports
Nebeneffekt:
durch Erweiterung der IP-Netze wird der Honeypot
zusätzlich von externen Adressen angegriffen.
In „Spitzenzeiten“ werden > 700 Angriffe / h
registriert.
Über jeden Angriff wird eine (X-ARF) Beschwerde an
die zuständige Abuse-Stelle versendet.
22.09.2010
8
NetCologne abuse reporting
ausgehende Reports
PHREAK-Erweiterung
bei Angriff durch externe IP-Adressen:
• der zugehörige Abuse-Kontakt wird durch Abfrage der
Abusix-Datenbank gefunden.
(früher: Mail-Adresse aus der whois-Information des zugehörigen AS genutzt (Team Cymru)
– viele „falsche“ Adressen)
• Eine X-ARF Email an den Abuse-Kontakt wird generiert und versendet.
• die Daten (IP,Uhrzeit,Angriffsdetails) werden in eine Datenbank
geschrieben.
• Aus der Datenbank wird eine lokale RBL generiert; die IPs werden 24h
am Mailversand zu NetCologne gehindert.
(es sei denn, ein interner Zähler wird überschritten – Zeitraum kann dann auch länger sein)
22.09.2010
9
NetCologne abuse reporting
mwdb
infizierter PC
Mail-Beschw
erde
phreak
* kick user
* sende
Beschwerde
Malware
DB-Server
Honeypot
Mail / RBL
22.09.2010
10
NetCologne abuse reporting
ausgehende Reports
Beschwerde-Email: X-ARF Teil 1
From: [email protected]
To: [email protected]
Auto-Submitted: auto-generated
X-ARF: YES
--===============1797617058==
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset="utf-8"
from email.MIMEText import MIMEText
NetCologne Honeypot-Event!
from email.mime.multipart import *
One of our honeypots has been successfully attacked by an
IP-Address under your control - see Data below.
Please take appropriate action to make sure this doesn't happen again.
Thank you for helping keeping the internet clean.
------------------------This is an experimental service. Please contact the sender if you
experience any problems with this notification.
** NEW: This Report is written in X-ARF (Abuse Reporting Format) as pointed out in
http://www.x-arf.org and http://www.ietf.org/rfc/rfc3462.txt.
If you encounter errors of any kind please contact us at [email protected] **
------------------------Source-ip: 89.204.40.206
AS: 31094
Malware-URL: tftp://89.204.40.206/ssms.exe
Bitdefender-Analysis: Backdoor.SDbot.DFNQ
Attack-time: 1283943838
.. which is: Wed Sep 8 13:03:58 2010 +02:00 CEST
internal id: 1940909
------------------------Abusix-address: [email protected]
############
Mailaddress found by using http://abusix.org/services/abuse-contact-db
Please contact [email protected] if you believe your mailaddress
is not the right contact for the attacking ip-address.
….
# build header
msg = MIMEMultipart('mixed')
msg.set_param('report-type','feedback-report')
msg['Subject'] = '[Honeypot-Event] Source:%s' % (info['ip'])
msg['From'] = fr
msg['To'] = to
msg.add_header('Auto-Submitted', 'auto-generated')
msg.add_header('X-ARF', 'YES')
….
# Part 1
part1 = MIMEText(text,'plain')
part1.set_payload(text)
part1.set_charset('utf-8')
msg.attach(part1)
-NetCologne Gesellschaft fuer Telekommunikation mbH
Am Coloneum 9 ; 50829 Koeln
Geschaeftsfuehrer: Werner Hanf / Karl- Heinz Zankel, Dipl. Ing.
HRB 25580, AG Koeln
22.09.2010
11
NetCologne abuse reporting
ausgehende Reports
Beschwerde-Email: X-ARF Teil 2
--===============0494313123==
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset="utf8"; name="report.yaml"
Reported-From: [email protected]
Category: abuse
Report-Type: malware-attack
Destination-System: nepenthes
User-Agent: PHREAK 1.3
Report-ID: [email protected]
Date: Mon Sep 6 16:21:55 2010 +02:00 CEST
Source: 78.128.66.55
Source-Type: IPv4
Download-Link: tftp://78.128.66.55/ssms.exe
Antivirus-Result: Backdoor.SDbot.DFNQ
Antivirus-Vendor: Bitdefender
Malware-MD5: fd28c5e1c38caa35bf5e1987e6167f4c
Attachment: none
Schema-URL: http://www.x-arf.org/schema/abuse_malware-attack_0.1.1.json
Version: 1.0.1
22.09.2010
# Part2
part2 = MIMEText('','plain')
part2.set_param('name','report.yaml')
part2.set_payload(text2)
part2.set_charset('utf8')
#encoders.encode_base64(part2)
msg.attach(part2)
….
server.sendmail(fr,to,msg.as_string())
12
NetCologne abuse reporting
Ergebnisse:
22.09.2010
13
NetCologne abuse reporting
Ergebnisse:
22.09.2010
14
NetCologne abuse reporting
##########
([email protected]):
Asunto: [Honeypot-Event] Source:213.99.227.164
Antworten:
Mensaje:
Buenos días:
Currently there is no access to the URL.
###########
[email protected] :
Due to the excessive volume of worm/virus/spam-generated messages, the Novis
abuse contact now requires you to confirm your address in order to validate
your messages come from a legitimate source instead of junk mailers. This
validation will only be made once for each unique e-mail address.
##############
Joshua Tressler <[email protected]> :
I will be out of the office the week of August 3rd through August 7th and will be returning on Monday August 10th. If you need immediate assistance, please call the office
other messages on Monday.
Thanks!
##############
<[email protected]>: Host or domain name not found. Name service error
for name=mail.hf.ah.cninfo.net type=MX: Host not found, try again
##############
----- The following addresses had permanent fatal errors ----<[email protected]>
(reason: 552 5.2.2 Over quota)
<[email protected]>
(reason: 552 5.2.2 Over quota)
##############
<[email protected]>: host mx0.tvnetwork.hu[212.92.0.139] said: 553 sorry, that
domain isn't in my list of allowed rcpthosts (#5.7.1) (in reply to RCPT TO
command)
#############
Failed to deliver to '[email protected]'
SMTP module(domain [10.2.2.106]) reports:
host 10.2.2.106 says:
550 5.1.1 User unknown
#############
<[email protected]>: delivery temporarily suspended: host
data.cz.net[195.39.37.178] refused to talk to me: 421 4.3.2 Connection rate
limit exceeded.
##########
Ihre Nachricht an '[email protected]' konnte nicht zugestellt werden
LOCAL module(account [email protected]) reports:
account is full (quota exceeded)
##########
<[email protected]>: host mail.san.ru[88.147.128.28] said: 452 [email protected] account is
full (quota exceeded) (in reply to RCPT TO command)
###########
[email protected]
The recipient's mailbox is full and can't accept messages now.
Microsoft Exchange will not try to redeliver this message for you.
Please try resending this message later, or contact the recipient directly.
##########
<[email protected]>: cannot access mailbox /var/mail/office for user office.
error writing message: File too large
22.09.2010
15
Vielen Dank für Ihre Aufmerksamkeit!
Dipl.-Phys. Gunther Nitzsche
NetCologne GmbH
22.09.2010
Fon:
Fax:
+49 221 2222 0
+49 221 2222 5330
Mail:
Web:
[email protected]
http://www.netcologne.de
16