Abuse-Reporting bei NetCologne - Arbeitskreis E-Mail
Transcrição
Abuse-Reporting bei NetCologne - Arbeitskreis E-Mail
16.9.2010 8th German Anti Spam Summit Workshop: AK-Email Abuse-Reporting bei NetCologne Gunther Nitzsche NetCologne abuse reporting Agenda eingehende Reports - ANANAS - APE ausgehende Reports - 22.09.2010 das Honeypot-System PHREAK-Erweiterung Honeypot-Emails Ergebnisse 2 NetCologne abuse reporting eingehende Reports ARF / X-ARF • betrifft bislang (fast) nur Spam-Beschwerden • wenige verschiedene externe Beschwerdeführer • (Abusix / AOL / woody.ch / abuse.mail.dk … ) • meist ARF – Reports, X-ARF noch kaum genutzt • etwa 10.000 Beschwerden / Monat 22.09.2010 3 NetCologne abuse reporting abuse management tools A.N.A.N.A.S.: Beschwerden werden halbautomatisch bearbeitet, (X-)ARF-Information wird ausgewertet. 22.09.2010 4 NetCologne abuse reporting 22.09.2010 5 NetCologne abuse reporting Ausblick: APE (abuse processing engine) Kombination aus eigenem Sender-based Reputationsmechanismus, ARF/X-ARF EmailAnalyse und Abuse-Datenbank mit Punktesystem führt zu vollautomatischer Abuse-Bearbeitung 22.09.2010 6 NetCologne abuse reporting ausgehende Reports der NetCologne Honeypot: Die NetCologne GmbH betreibt einen Honeypot-Server, der in verschiedenen IP-Adressnetzen „lauscht“. Ziel ist es, Angriffe durch PC‘s aus NetCologne – eigenen IP-Adressräumen zu erkennen und darauf (mit Sperren und Informieren des Angreifers) zu reagieren. PHREAK: Program for honeypot induced reactions ending in automated kill 22.09.2010 7 NetCologne abuse reporting ausgehende Reports Nebeneffekt: durch Erweiterung der IP-Netze wird der Honeypot zusätzlich von externen Adressen angegriffen. In „Spitzenzeiten“ werden > 700 Angriffe / h registriert. Über jeden Angriff wird eine (X-ARF) Beschwerde an die zuständige Abuse-Stelle versendet. 22.09.2010 8 NetCologne abuse reporting ausgehende Reports PHREAK-Erweiterung bei Angriff durch externe IP-Adressen: • der zugehörige Abuse-Kontakt wird durch Abfrage der Abusix-Datenbank gefunden. (früher: Mail-Adresse aus der whois-Information des zugehörigen AS genutzt (Team Cymru) – viele „falsche“ Adressen) • Eine X-ARF Email an den Abuse-Kontakt wird generiert und versendet. • die Daten (IP,Uhrzeit,Angriffsdetails) werden in eine Datenbank geschrieben. • Aus der Datenbank wird eine lokale RBL generiert; die IPs werden 24h am Mailversand zu NetCologne gehindert. (es sei denn, ein interner Zähler wird überschritten – Zeitraum kann dann auch länger sein) 22.09.2010 9 NetCologne abuse reporting mwdb infizierter PC Mail-Beschw erde phreak * kick user * sende Beschwerde Malware DB-Server Honeypot Mail / RBL 22.09.2010 10 NetCologne abuse reporting ausgehende Reports Beschwerde-Email: X-ARF Teil 1 From: [email protected] To: [email protected] Auto-Submitted: auto-generated X-ARF: YES --===============1797617058== MIME-Version: 1.0 Content-Transfer-Encoding: 7bit Content-Type: text/plain; charset="utf-8" from email.MIMEText import MIMEText NetCologne Honeypot-Event! from email.mime.multipart import * One of our honeypots has been successfully attacked by an IP-Address under your control - see Data below. Please take appropriate action to make sure this doesn't happen again. Thank you for helping keeping the internet clean. ------------------------This is an experimental service. Please contact the sender if you experience any problems with this notification. ** NEW: This Report is written in X-ARF (Abuse Reporting Format) as pointed out in http://www.x-arf.org and http://www.ietf.org/rfc/rfc3462.txt. If you encounter errors of any kind please contact us at [email protected] ** ------------------------Source-ip: 89.204.40.206 AS: 31094 Malware-URL: tftp://89.204.40.206/ssms.exe Bitdefender-Analysis: Backdoor.SDbot.DFNQ Attack-time: 1283943838 .. which is: Wed Sep 8 13:03:58 2010 +02:00 CEST internal id: 1940909 ------------------------Abusix-address: [email protected] ############ Mailaddress found by using http://abusix.org/services/abuse-contact-db Please contact [email protected] if you believe your mailaddress is not the right contact for the attacking ip-address. …. # build header msg = MIMEMultipart('mixed') msg.set_param('report-type','feedback-report') msg['Subject'] = '[Honeypot-Event] Source:%s' % (info['ip']) msg['From'] = fr msg['To'] = to msg.add_header('Auto-Submitted', 'auto-generated') msg.add_header('X-ARF', 'YES') …. # Part 1 part1 = MIMEText(text,'plain') part1.set_payload(text) part1.set_charset('utf-8') msg.attach(part1) -NetCologne Gesellschaft fuer Telekommunikation mbH Am Coloneum 9 ; 50829 Koeln Geschaeftsfuehrer: Werner Hanf / Karl- Heinz Zankel, Dipl. Ing. HRB 25580, AG Koeln 22.09.2010 11 NetCologne abuse reporting ausgehende Reports Beschwerde-Email: X-ARF Teil 2 --===============0494313123== MIME-Version: 1.0 Content-Transfer-Encoding: 7bit Content-Type: text/plain; charset="utf8"; name="report.yaml" Reported-From: [email protected] Category: abuse Report-Type: malware-attack Destination-System: nepenthes User-Agent: PHREAK 1.3 Report-ID: [email protected] Date: Mon Sep 6 16:21:55 2010 +02:00 CEST Source: 78.128.66.55 Source-Type: IPv4 Download-Link: tftp://78.128.66.55/ssms.exe Antivirus-Result: Backdoor.SDbot.DFNQ Antivirus-Vendor: Bitdefender Malware-MD5: fd28c5e1c38caa35bf5e1987e6167f4c Attachment: none Schema-URL: http://www.x-arf.org/schema/abuse_malware-attack_0.1.1.json Version: 1.0.1 22.09.2010 # Part2 part2 = MIMEText('','plain') part2.set_param('name','report.yaml') part2.set_payload(text2) part2.set_charset('utf8') #encoders.encode_base64(part2) msg.attach(part2) …. server.sendmail(fr,to,msg.as_string()) 12 NetCologne abuse reporting Ergebnisse: 22.09.2010 13 NetCologne abuse reporting Ergebnisse: 22.09.2010 14 NetCologne abuse reporting ########## ([email protected]): Asunto: [Honeypot-Event] Source:213.99.227.164 Antworten: Mensaje: Buenos días: Currently there is no access to the URL. ########### [email protected] : Due to the excessive volume of worm/virus/spam-generated messages, the Novis abuse contact now requires you to confirm your address in order to validate your messages come from a legitimate source instead of junk mailers. This validation will only be made once for each unique e-mail address. ############## Joshua Tressler <[email protected]> : I will be out of the office the week of August 3rd through August 7th and will be returning on Monday August 10th. If you need immediate assistance, please call the office other messages on Monday. Thanks! ############## <[email protected]>: Host or domain name not found. Name service error for name=mail.hf.ah.cninfo.net type=MX: Host not found, try again ############## ----- The following addresses had permanent fatal errors ----<[email protected]> (reason: 552 5.2.2 Over quota) <[email protected]> (reason: 552 5.2.2 Over quota) ############## <[email protected]>: host mx0.tvnetwork.hu[212.92.0.139] said: 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1) (in reply to RCPT TO command) ############# Failed to deliver to '[email protected]' SMTP module(domain [10.2.2.106]) reports: host 10.2.2.106 says: 550 5.1.1 User unknown ############# <[email protected]>: delivery temporarily suspended: host data.cz.net[195.39.37.178] refused to talk to me: 421 4.3.2 Connection rate limit exceeded. ########## Ihre Nachricht an '[email protected]' konnte nicht zugestellt werden LOCAL module(account [email protected]) reports: account is full (quota exceeded) ########## <[email protected]>: host mail.san.ru[88.147.128.28] said: 452 [email protected] account is full (quota exceeded) (in reply to RCPT TO command) ########### [email protected] The recipient's mailbox is full and can't accept messages now. Microsoft Exchange will not try to redeliver this message for you. Please try resending this message later, or contact the recipient directly. ########## <[email protected]>: cannot access mailbox /var/mail/office for user office. error writing message: File too large 22.09.2010 15 Vielen Dank für Ihre Aufmerksamkeit! Dipl.-Phys. Gunther Nitzsche NetCologne GmbH 22.09.2010 Fon: Fax: +49 221 2222 0 +49 221 2222 5330 Mail: Web: [email protected] http://www.netcologne.de 16