Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

Study for Tracing Zombie PCS and Botnet Using an Email Spam Trap

이메일 스팸트랩을 이용한 좀비 PC 및 봇넷 추적 방안연구

  • Received : 2010.10.13
  • Accepted : 2010.12.30
  • Published : 2011.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

A botnet is a huge network of hacked zombie PCs. Recognizing the fact that the majority of email spam is sent out by botnets, a system that is capable of detecting botnets and zombie PCS will be designed in this study by analyzing email spam. In this study, spam data collected in "an email spam trail system", Korea's national spam collection system, were used for analysis. In this study, we classified the spam groups by the URLs or attached files, and we measured how much the group has the characteristics of botnet and how much the IPs have the characteristics of zombie PC. Through the simulation result in this study, we could extract 16,030 zombie suspected PCs for one hours and it was verified that email spam can provide considerably useful information in tracing zombie PCs.

봇넷(Botnet)은 이미 해킹당한 좀비 PC들로 구성된 거대한 네트워크이다. 본 논문에서는 대다수의 스팸이 봇넷에 의해 발송되고 있다는 점에 착안하여 스팸메일을 분석하여 봇넷과 좀비 PC들을 탐지할 수 있는 시스템을 설계하고 이를 검증하였다. 특히, 본 논문에서는 국가차원에서 스팸 수집 분석 증거물 확보를 목적으로 KISA에서 운영하고 있는 이메일 스팸 트랩 시스템에서 수집된 방대한 스팸 메일을 분석에 활용하였다. 본 논문에서는 동일한 URL이나 첨부파일을 가진 스팸을 하나의 그룹으로 분류하고, 각 그룹의 전체 IP들이 어느 정도 봇넷의 특정을 가지고 있는지와 그룹 내의 각각의 IP들이 어느 정도 좀비 PC의 특정을 가지고 있는지를 측정하여 봇넷 그룹과 좀비 PC를 판별할 수 있도록 설계하였다. 제안된 시스템의 시뮬레이션 결과 1시간동안 16,030개의 좀비 의심 PC를 추출할 수 있었으며, 이메일 스팸이 좀비 PC를 추적하는데 상당히 유용한 정보를 제공해 줄 수 있음을 확인할 수 있었다.

Keywords

Acknowledgement

Grant : 지능형 악성코드 자동분석 및 경유.유포지 탐지기술

Supported by : 방송통신위원회, 정보통신산업진흥원

References

  1. Y. Xie, F. Yu, K. Achan, R. Panigrahy, G. Hulten, and I. Osipkov, "Spamming Botnets: Signatures and Characteristics," SIGCOMM'08, pp.17-22, Aug. 2008
  2. J.P. John, A. Moshchuk, S.D. Gribble, and A. Krishnamurthy, "Studying Spamming Botnets Using Botlab," USENIX, 2009
  3. A. Mislove, M. Marcon, K.P. Gummadi, P. Druschel, and B. Bhattacharjee, "Measurement and Analysis of Online Social Networks," Proceedings of the 7th ACM SIGCOMM conference on Internet measurement, 2007
  4. F. Li, and M.H. Hsieh, "An Empirical Study of Clustering Behavior of Spammers and Group-based Anti-Spam Strategies," CEAS 2006-3rd Conference on Email and Anti-Spam, 2006
  5. A. Ranachandran, N. Feamster, and S. Vempala, "Filtering Spam with Behavioral Blacklisting," CCS'07, 2007
  6. L.H. Gomes, C. Cazita, and W. Meira, "Characterizing a Spam Traffic," IMC'04, 2004
  7. A. Ranmachandran and N. Feamaster, "Understanding the Network-Level Behavior of Spammers," SIGGOMM'06, 2006
  8. H. Husna, S. Phithakkinukoon,A. Palla, and R. Dantu, "Behavioral Blacklisting," CCS'07, 2007
  9. M. Bailey, E. Cooke, F. Jahnian, Y. Xu, and M. Karir. "A survey of botnet technology and defenses," In 2009 Cybersecurity Applications and Technology Conference for Homeland Security, pp. 299-304, 2009
  10. 정현철, 이상진, "국가 봇넷 대응 프레임워크 제안," 2009년도 정보보호학회 동계학술발표대회논문집, KIISC, 19(2) pp. 193-197, 2009년 12월.
  11. Wikipedia, http://en.wikipedia.org/wiki/ E-mail
  12. Symantec, http://www.symantec.com/
  13. BBC news. Criminals 'may overwhelm the web'. http://new.bbc.co.uk/2/hi/business/6298641 stm, 2007
  14. The Register, "DDoS attacks fall as crackers turn to spam," http://www.theregister.co.uk/2007/05/02/dos_trends_symantec/, 2007.
  15. MessageLabs, http://www.messagelabs. com/
  16. London Action Plan, http://www.londona-ctionplan.com/
  17. 조선일보, http://biz.chosun.com/site/data/html_dir/2010/06/11/2010061101547. html, 2010
  18. P. Graham, "Different Methods of Stopping Spam," http://www.windowsecurity. com/, 2003
  19. L. Lee, "Measures of distributional similarity," Proceedings of the 37th annual meeting of the Association for Computational Linguistics on Computational Linguistics, 1999
  20. L. Zhuang, J. Dunagan, D.R. Simon, H.J. Wang, and J.D. Tygar, "Characterizing Botnets From Email Spam Records," LEET'08 Proceedings of the 1st Usenix Workshop on Large-Scale Exploits and Emergent Threats, 2008