cNotes 検索 一覧 カテゴリ

Live Hotmail Anti-CAPTCHA

Published: 2008/04/30

流行の変化か4月上旬より、ハニーポットにてLive HotmailのCAPTCHA破りを行うボットを大規模に観測しています。それまではGMAIL関連のものが多かったですが。

動作概要は以下のような感じ。

(1)ボットはアカウント作成を自動実行し始める。

(2)ボットはCAPTCHAの文字入力段階までくると表示されたCAPTCHA用の画像をCAPTCHA解読サービスが起動しているサーバへ送信する。サーバー自体は14台ほど存在していてDNSラウンドロビンを使わないできれいにラウンドロビンしています。

 T 2008/04/27 01:58:27.401521 x.x.x.x:2463 -> x.x.x.x:80 [A]
  POST /ocr/ HTTP/1.1..TE: deflate,gzip;q=0.3..Connection: TE, close..Host: o
  cr*****.**..User-Agent: libwww-perl/5.68..Content-Length: 4232..Content-
  Type: multipart/form-data; boundary=xYzZY....--xYzZY..Content-Disposition: 
  form-data; name="id"....2..--xYzZY..Content-Disposition: form-data; name="i
  mgtype"....h..--xYzZY..Content-Disposition: form-data; name="pic"; filename
  ="0_12.jpg"..Content-Length: 3976..Content-Type: image/jpeg..........JFIF..

(3)ボットは、そのサーバーから解読された結果を受け取る。

 T 2008/04/27 01:58:27.898012 x.x.x.x:80 -> x.x.x.x:2463 [AP]
  HTTP/1.1 200 OK..Date: Sat, 26 Apr 2008 16:57:38 GMT..Server: Apache/1.3.39
   (Win32) PHP/4.4.7..Content-Length: 8..Connection: close..Content-Type: tex
  t/plain......L.M..4  

(4)アカウント作成を継続、完了する。

CAPTCHA破りサービスの一連の情報交換はHTTPを利用しています。

また、それとは別に全体のコントロールは違うサーバーにより行われていて、個々のボットの管理(?)と作成するアカウント情報の指示等が行われています。このシステムはPHPを利用したプログラムをインターフェースにしてデータベース管理しているようです。このサーバーはLive Hotmailのアカウント作成管理システムとは別にAOL関連のアカウント作成管理システムも動いているようです。

[カテゴリ:botnet観察日記]

by jyake