S PAM T RACER T RACKING F LY -B Y S PAMMERS RIPE 67 P IERRE - - PowerPoint PPT Presentation

s pam t racer t racking f ly b y s pammers
SMART_READER_LITE
LIVE PREVIEW

S PAM T RACER T RACKING F LY -B Y S PAMMERS RIPE 67 P IERRE - - PowerPoint PPT Presentation

Mar 26, 2024 21 likes •232 views

S PAM T RACER T RACKING F LY -B Y S PAMMERS RIPE 67 P IERRE -A NTOINE V ERVIER S YMANTEC R ESEARCH L ABS Pierre-Antoine_Vervier@symantec.com RIPE 67 - Athens -

slide-1
SLIDE 1

1 ¡

SPAMTRACER ¡ TRACKING ¡FLY-­‑BY ¡SPAMMERS ¡

RIPE ¡67 ¡ ¡ PIERRE-­‑ANTOINE ¡VERVIER ¡ SYMANTEC ¡RESEARCH ¡LABS ¡

Pierre-­‑Antoine_Vervier@symantec.com ¡

RIPE ¡67 ¡-­‑ ¡Athens ¡-­‑ ¡Oct. ¡14th ¡-­‑ ¡18th, ¡2013 ¡

slide-2
SLIDE 2

2 ¡

Where ¡It ¡All ¡Begins ¡

  • CONJECTURE ¡

– Spammers ¡would ¡use ¡BGP ¡hijacking ¡to ¡send ¡spam ¡from ¡ the ¡stolen ¡IP ¡space ¡and ¡remain ¡untraceable ¡ – Short-­‑lived ¡(< ¡1 ¡day) ¡routes ¡to ¡unused ¡IP ¡space ¡+ ¡spam ¡ [Ramachandran2006, ¡Hu2007] ¡ – Anecdotal ¡reports ¡on ¡mailing ¡lists ¡

  • POTENTIAL ¡EFFECTS ¡

– Misa]ribute ¡a]acks ¡launched ¡from ¡hijacked ¡networks ¡due ¡ to ¡hijackers ¡stealing ¡IP ¡idenFty ¡ – Spam ¡filters ¡heavily ¡rely ¡on ¡IP ¡reputaaon ¡as ¡a ¡first ¡layer ¡of ¡ defense ¡

2 ¡

slide-3
SLIDE 3

3 ¡

Fly-­‑By ¡Spammers ¡:: ¡Myth ¡or ¡Reality? ¡

3 ¡

slide-4
SLIDE 4

4 ¡

BGP ¡Hijacking ¡

  • CAUSE ¡

– The ¡injecaon ¡of ¡erroneous ¡rouang ¡informaaon ¡into ¡BGP ¡ – No ¡widely ¡deployed ¡security ¡mechanism ¡yet ¡

  • E.g., ¡ROA, ¡BGPsec ¡
  • EFFECTS ¡

– Blackhole ¡or ¡MITM ¡[Pilosof ¡2008] ¡of ¡the ¡vicam ¡network ¡

  • EXPLANATIONS ¡

– Router ¡misconfiguraaon, ¡operaaonal ¡fault ¡

  • E.g., ¡Hijack ¡of ¡part ¡of ¡Youtube ¡network ¡by ¡Pakistan ¡Telecom ¡

– Malicious ¡intent? ¡

4 ¡

slide-5
SLIDE 5

5 ¡

Your ¡Mission, ¡Should ¡You ¡Accept ¡It ¡

  • Validate ¡or ¡invalidate ¡on ¡a ¡large ¡scale ¡the ¡

conjecture ¡about ¡fly-­‑by ¡spammers ¡

  • Assess ¡the ¡prevalence ¡of ¡this ¡phenomenon ¡

¡ ¡

  • SPAMTRACER ¡

– collect ¡rouFng ¡informaaon ¡about ¡spam ¡networks ¡ – extract ¡abnormal ¡rouang ¡behaviors ¡to ¡detect ¡possible ¡ BGP ¡hijacks ¡

5 ¡

slide-6
SLIDE 6

6 ¡

SPAMTRACER ¡:: ¡PresentaFon ¡

  • ASSUMPTION ¡

– When ¡an ¡IP ¡address ¡block ¡is ¡hijacked ¡for ¡stealthy ¡ spamming, ¡a ¡rouFng ¡change ¡will ¡be ¡observed ¡when ¡ the ¡block ¡is ¡released ¡by ¡the ¡spammer ¡to ¡remain ¡ stealthy ¡

  • METHOD ¡

– Collect ¡BGP ¡routes ¡and ¡IP/AS ¡traceroutes ¡to ¡ spamming ¡networks ¡just ¡aier ¡spam ¡is ¡received ¡and ¡ during ¡several ¡days ¡ – Look ¡for ¡a ¡rouang ¡change ¡from ¡the ¡hijacked ¡state ¡to ¡ the ¡normal ¡state ¡of ¡the ¡network ¡

6 ¡

slide-7
SLIDE 7

7 ¡

SPAMTRACER ¡:: ¡System ¡Architecture ¡

7 ¡

Live spam feed Symantec.cloud Select Bogon IP prefixes BGP & Traceroute Anomaly Detection Identification of Hijackings IP i IP/AS & BGP routes to IP i Possible Hijack/ Suspicious Benign IP/AS traceroute BGP routes Monitored IP's Spams IP Data collection Data analysis Team Cymru

slide-8
SLIDE 8

8 ¡

29 ¡hijacked ¡prefixes ¡from ¡Jan. ¡to ¡Jul. ¡2013 ¡

8 ¡

slide-9
SLIDE 9

9 ¡

Hijack ¡duraFon ¡between ¡1 ¡and ¡20 ¡days ¡

9 ¡

slide-10
SLIDE 10

10 ¡

Fly-­‑By ¡Spammers ¡:: ¡Hijack ¡Signature ¡

  • Hijacked ¡networks ¡

– were ¡dormant ¡address ¡blocks, ¡i.e., ¡by ¡the ¡ame ¡the ¡networks ¡ were ¡hijacked ¡they ¡had ¡been ¡lei ¡idle ¡by ¡their ¡owner ¡ – adverased ¡for ¡a ¡short ¡period ¡of ¡ame ¡ – adverased ¡from ¡an ¡apparently ¡legiFmate ¡origin ¡AS ¡but ¡via ¡a ¡ rogue ¡upstream ¡AS ¡ – see ¡[Huston2005] ¡

  • In ¡pracace, ¡we ¡observed ¡

– idle ¡intervals ¡between ¡3 ¡months ¡and ¡7 ¡years ¡ – hijack ¡duraFons ¡between ¡1 ¡day ¡and ¡20 ¡days, ¡mostly ¡< ¡5 ¡days ¡ – rogue ¡upstream ¡ASes ¡were ¡hijacked ¡too ¡

10 ¡

slide-11
SLIDE 11

11 ¡

Case ¡Studies ¡:: ¡ Suspicious ¡BGP ¡Routes ¡& ¡Spam ¡

11 ¡ Suspicious ¡ BGP ¡announcements ¡ ¡

slide-12
SLIDE 12

12 ¡

Case ¡Studies ¡:: ¡ Suspicious ¡BGP ¡Routes ¡& ¡Spam ¡

12 ¡

  • Strong ¡temporal ¡correlaaon ¡between ¡

– suspicious ¡BGP ¡announcements ¡and ¡ – spam ¡

  • BGP ¡announcements ¡are ¡quite ¡short-­‑lived! ¡
  • No ¡idenafied ¡spam ¡bot! ¡
  • A ¡lot ¡of ¡scam ¡web ¡sites ¡adverased ¡in ¡spam ¡

mails ¡were ¡hosted ¡in ¡the ¡hijacked ¡networks ¡

slide-13
SLIDE 13

13 ¡

Case ¡Studies ¡:: ¡ Suspicious ¡BGP ¡Routes ¡& ¡DNSBLs ¡

13 ¡

  • Only ¡2 ¡address ¡blocks ¡appeared ¡in ¡the ¡Uceprotect* ¡blacklist ¡at ¡

the ¡ame ¡of ¡the ¡suspicious ¡BGP ¡announcements ¡

*h]p://www.uceprotect.net ¡ Noace: ¡blacklist ¡entries ¡ automaacally ¡expire ¡aier ¡ 7 ¡days ¡

Suspicious ¡ BGP ¡announcements ¡ ¡

slide-14
SLIDE 14

14 ¡

How ¡Stealthy ¡Were ¡Spammers? ¡

  • Out ¡of ¡29 ¡hijacked ¡address ¡blocks ¡

– 6 ¡(21%) ¡were ¡listed ¡in ¡Uceprotect ¡ – 13 ¡(45%) ¡were ¡listed ¡in ¡Spamhaus ¡DROP ¡(Don’t ¡Route ¡ Or ¡Peer) ¡ ¡

  • DROP ¡is ¡supposed ¡to ¡list ¡hijacked ¡address ¡blocks ¡
  • but ¡li]le ¡is ¡known ¡about ¡their ¡lisang ¡policy ¡

– 29 ¡(100%) ¡were ¡observed ¡only ¡once ¡during ¡the ¡ame ¡ period ¡of ¡the ¡experiment ¡

  • Fly-­‑by ¡spammers ¡seem ¡to ¡manage ¡to ¡remain ¡

under ¡the ¡radar! ¡

14 ¡

slide-15
SLIDE 15

15 ¡

Which ¡Networks ¡Were ¡Targeted? ¡

  • All ¡hijacked ¡address ¡blocks ¡were ¡assigned ¡to ¡a ¡

different ¡organizaaon ¡(i.e., ¡a ¡different ¡owner) ¡

  • Out ¡of ¡29 ¡organizaaons ¡

– 12 ¡(41%) ¡were ¡found ¡to ¡be ¡dissolved ¡or ¡very ¡likely ¡out ¡

  • f ¡business ¡

– 17 ¡(59%) ¡were ¡found ¡to ¡be ¡sFll ¡in ¡business ¡or ¡no ¡ conclusive ¡evidence ¡of ¡them ¡being ¡out ¡of ¡business ¡ could ¡be ¡found ¡

  • Fly-­‑by ¡spammers ¡seem ¡to ¡simply ¡target ¡dormant ¡

address ¡blocks ¡regardless ¡of ¡their ¡owner ¡sall ¡ being ¡business ¡or ¡not ¡

15 ¡

slide-16
SLIDE 16

16 ¡

What ¡About ¡Long-­‑Lived ¡Hijacks? ¡

  • We ¡looked ¡specifically ¡for ¡short-­‑lived ¡hijacks ¡

– each ¡spam ¡network ¡was ¡monitored ¡for ¡1 ¡week ¡aier ¡spam ¡ was ¡received ¡

  • But ¡what ¡about ¡long-­‑lived ¡ones ¡

– it ¡happens ¡also, ¡e.g., ¡LinkTelecom ¡hijack ¡[Nanog2011, ¡ ISTR2012, ¡Vervier2013, ¡Schlamp2013] ¡lasted ¡5 ¡months ¡ – but ¡they ¡are ¡less ¡straightorward ¡to ¡detect ¡ – and ¡it ¡seems ¡to ¡defeat ¡the ¡assumed ¡purpose ¡of ¡evading ¡ blacklisang ¡

  • We ¡are ¡working ¡on ¡updaang ¡our ¡framework ¡to ¡detect ¡

these ¡cases ¡

16 ¡

slide-17
SLIDE 17

17 ¡

How ¡To ¡Prevent ¡Fly-­‑By ¡Spammers? ¡

  • In ¡the ¡observed ¡hijack ¡cases, ¡spammers ¡

– did ¡not ¡tamper ¡with ¡the ¡origin ¡of ¡the ¡address ¡blocks ¡ – but ¡adverased ¡the ¡address ¡blocks ¡via ¡rogue ¡upstream ¡ASes ¡

  • BGPsec ¡is ¡currently ¡the ¡most ¡promising ¡architecture ¡for ¡securing ¡BGP ¡

– both ¡Route ¡OriginaFon ¡and ¡Route ¡PropagaFon ¡must ¡be ¡secured ¡to ¡ prevent ¡fly-­‑by ¡spammers ¡ – secured ¡Route ¡Originaaon ¡via ¡ROAs ¡is ¡being ¡more ¡and ¡more ¡deployed ¡ – but ¡secured ¡Route ¡Propagaaon ¡is ¡sall ¡at ¡a ¡too ¡early ¡stage ¡

  • The ¡soluaon ¡for ¡now ¡is ¡thus ¡to ¡

– encourage ¡the ¡following ¡of ¡rouang ¡best ¡pracFces ¡and ¡ – use ¡detecFon ¡systems ¡to ¡miagate ¡the ¡effect ¡of ¡these ¡a]acks, ¡e.g., ¡by ¡ feeding ¡IP-­‑based ¡reputaaon ¡systems ¡with ¡hijacked ¡address ¡blocks ¡

17 ¡

slide-18
SLIDE 18

18 ¡

Conclusion ¡

  • The ¡observed ¡fly-­‑by ¡spammer ¡cases ¡show ¡that ¡

this ¡phenomenon ¡is ¡happening ¡though ¡it ¡does ¡ not ¡currently ¡seem ¡to ¡be ¡a ¡very ¡prevalent ¡ technique ¡to ¡send ¡spam, ¡e.g., ¡compared ¡to ¡ botnets ¡

  • However, ¡it ¡is ¡important ¡to ¡detect ¡those ¡a]acks ¡

because ¡hijacking ¡address ¡blocks ¡hinder ¡ traceability ¡of ¡a]ackers ¡and ¡can ¡lead ¡to ¡ misacribuFng ¡a]acks ¡when ¡responding ¡with ¡ possibly ¡legal ¡acaons! ¡

18 ¡

slide-19
SLIDE 19

19 ¡

PerspecFves ¡

  • Provide ¡an ¡interface ¡for ¡network ¡operators ¡to ¡

query ¡idenafied ¡hijacks ¡

  • Ongoing ¡collaboraFon ¡with ¡Insatut ¡Eurécom ¡

(FRA) ¡and ¡TU ¡München ¡(GER) ¡to ¡build ¡a ¡ comprehensive ¡system ¡for ¡the ¡detecaon ¡and ¡ invesagaaon ¡of ¡malicious ¡BGP ¡hijacks ¡

19 ¡

slide-20
SLIDE 20

20 ¡

Thank ¡you! ¡

Time ¡for ¡Q&A! ¡

20 ¡

slide-21
SLIDE 21

21 ¡

Some ¡references ¡

[Ramachandran ¡2006] ¡A. ¡Ramachandran ¡and ¡N. ¡Feamster. ¡Understanding ¡the ¡network-­‑level ¡behavior ¡

  • f ¡spammers. ¡In ¡SIGCOMM ¡’06: ¡Proceedings ¡of ¡the ¡2006 ¡conference ¡on ¡Applicaaons, ¡technologies, ¡

architectures, ¡and ¡protocols ¡for ¡computer ¡communicaaons, ¡pages ¡291-­‑302, ¡2006. ¡ [Hu ¡2007] ¡X. ¡Hu ¡and ¡Z. ¡M. ¡Mao. ¡Accurate ¡Real-­‑Time ¡Idenaficaaon ¡of ¡IP ¡Prefix ¡Hijacking. ¡In ¡Proceedings ¡

  • f ¡the ¡2007 ¡IEEE ¡Symposium ¡on ¡Security ¡and ¡Privacy ¡(S&P), ¡pages ¡3-­‑17, ¡2007. ¡

[Pilosov ¡2008] ¡A. ¡Pilosov ¡and ¡T. ¡Kapela. ¡Stealing ¡the ¡Internet: ¡An ¡Internet-­‑Scale ¡Man ¡In ¡The ¡Middle ¡ A]ack. ¡Defcon ¡16, ¡Las ¡Vegas, ¡NV, ¡August ¡2008. ¡ [Huston ¡2005] ¡G. ¡Huston. ¡Auto-­‑Detecang ¡Hijacked ¡Prefixes? ¡RIPE ¡50, ¡May ¡2005. ¡ [Nanog ¡2011] ¡Prefix ¡hijacking ¡by ¡Michael ¡Lindsay ¡via ¡Internap, ¡h]p://mailman.nanog.org/pipermail/ nanog/2011-­‑August/039381.html, ¡August ¡2011. ¡ [ISTR ¡2012] ¡Symantec ¡Internet ¡Security ¡Threat ¡Report: ¡Future ¡Spam ¡Trends: ¡BGP ¡Hijacking. ¡Case ¡Study ¡-­‑ ¡ Beware ¡of ¡"Fly-­‑by ¡Spammers". ¡h]p://www.symantec.com/threatreport/, ¡April ¡2012. ¡ [Vervier ¡2013] ¡P.-­‑A. ¡Vervier ¡and ¡O. ¡Thonnard. ¡Spamtracer: ¡How ¡Stealthy ¡Are ¡Spammers? ¡ ¡ In ¡the ¡5th ¡IEEE ¡Internaaonal ¡Traffic ¡Monitoring ¡and ¡Analysis ¡Workshop ¡(TMA), ¡pages ¡453-­‑458, ¡2013. ¡ [Schlamp ¡2013] ¡J. ¡Schlamp, ¡G. ¡Carle, ¡and ¡E. ¡W. ¡Biersack. ¡A ¡Forensic ¡Case ¡Study ¡on ¡AS ¡Hijacking: ¡The ¡ A]acker's ¡Perspecave. ¡ACM ¡Computer ¡Communica0on ¡Review ¡(CCR), ¡pages ¡5-­‑12, ¡2013. ¡

21 ¡