Maltegoで迷惑メールを可視化してみる2020.05.30版〜Myspaceから流出したメアドに来た迷惑メールを追跡する〜
技術情報2Maltego
/ 4.2.9 / 01 / 20200530
Maltegoで迷惑メールを可視化してみる2020.05.30版〜Myspaceから流出したメアドに来た迷惑メールを追跡する〜 
はじめに
MySpaceで使っていたメールアドレスが流出したのだけれど,しばらくアカウントをオフにしておいたが,アカウントをオンにした途端に迷惑メールが到着したので,どういうものか調べてみる.
明らかにするために,Maltegoを使って,色々なトランスフォームを使ってみる.(ほぼ練習)
迷惑メールの確認
どのようなメールがきたか確認.
うちにもなんども届いた,こういう内容の迷惑メール.
「私ハッカーは、あなたのオペレーティングシステムにアクセスしました。あなたのアカウントへのフルアクセスを獲得しています。数ヶ月間あなたの動向を見てきました。あなたが訪問されたアダルトサイトからマルウェアに感染しています。」
セクストーション(性的脅迫)という種類になって,ハッキングして恥ずかしい情報を掴んだから,流出させたくなければビットコインで支払いなさいというもの.
ビットコインは匿名性が高いと言われているので,追跡が難しいので,資金洗浄によく使われるという話も聞く.
迷惑メールから情報収集
今回到着したメールのヘッダを確認する.
ここでわかる情報は次の通り.
- Retun-Path:recepcao1.rhc[@]hcchotels.com.br
- メールの返信先となる.この迷惑メールについて返信先になるメールアドレス.ドメインだけでいえば,HCCホテルの受付の模様.
- Received: from antispam.vegaturbo.com[.]br 108.178.58[.]136
- 名前だけだと,ブラジルのvegaturboが提供するアンチスパムゲートウェイを経由しているようだが,スパムメール扱いされてないのかな.
- SpamTitan
- アイルランドのTitanHQ社が提供する低価格スパムフィルタの模様.VMware版とアプライアンス版があるそうだ.そのまま信じれば,vegaturboが提供するアンチスパムゲートウェイの実装がこれだと思われる.
- Received qmail
- 最近は設計上のシステム性能上限もあるのであまり使われなくなったけれど,セキュアなメールサーバとして有名なqmailを使っている.
- JavaMaiil.jboss-kh[@]hcchotels.com.br
- 迷惑メールの生成は,Javaのアプリケーションサーバ経由でJavaMailを使って送信されているということか.
- x-job: 2.2.9 (https[:]//hcchotels.com.br/PHPMailer/PHPMailer/)
- このヘッダをつけたアプリは特定できないけれど,PHPMailerというのはPHPのライブラリでSMTPサーバを利用してメールを出す時に利用される.
- X-ClientProxiedBy: 118.20.147[.]202
- このメールヘッダに関する詳しい情報は調べきれなかったのだけれど,ClientProxiedとなっているので,メーラから最初のメールを受け取ったメールサーバでは無いかと推測した.
迷惑メールを送信したメールアドレスが流出している可能性を検証する
Retun-Pathで設定されているメールアドレスには,この迷惑メールに驚いて?ビットコインがわからなくて?問い合わせする人が出てくるかもしれない.
その場合,このメールアドレスが有効でなければならず,ホテルの受付っぽいメアドになっているので,パスワードが流出して乗っ取られている可能性がある.
まずはHave I Been Pwnedで調査.
今回のメアドは,このHIBPでは登録されてない模様.
送信メールを送信したドメインについて検証する
hcchotels.com[.]brというドメインについて調べる.
HCC Hotelsは,バルセロナに数件あるホテルの模様.ブラジルのドメインとの関わりは不明.
フォーポイント バイ シェラトン クリチバというホテルがでてくる.現在価格8000円程度のビジネスホテルの模様.(COVIDの関係で安いだけかもしれないが)
また,Matheus Quincozesという人の名前が出てくるが,これはVega ITという会社のファウンダー&CEOらしい.
Webサイトにアクセスしても接続できないのだけれど,技術情報を可視化してみる.
SpamtitanやPleskを使っていたり,サーバはAmazonのバージニアリージョンに設置してある模様.SPFも登録されているしiPhoneにコンパチブル.
ドメインについて調べてみると,先ほどのMatheus Quincozesにつながりました.
X-ClientProxiedBy: 118.20.147[.]202について調べる
次に,X-ClientProxiedByで記録されているIPアドレスについて調査.
ここで日本のプロバイダの,「ぷらら」で仙台のIPアドレスが出てくる.
この迷惑メールは,日本からブラジルのサーバを経由して送信されている模様.
オープンリレーされてないか確認する
メールサーバが踏み台になっている可能性があるので,ブラジルのサイトで抜け穴がないか確認.
昔,たくさんあった?オープンリレーのチェックサイトも,悪いことに使われるからかサイトが閉じているものが覆うようで,今回はブラジル(笑)のサイトを使いました.
http[:]//www.antispam-ufrj.pads.ufrj[.]br
※URLは無効化してあります.
まずはIPアドレスを投入.
テストを実行.テストには,2分程度かかる.
今回,12個のテストが行われたが,Access Denniedになっているので,問題ない模様.
securemailとあるし,VEGA ITのメールサービスは踏み台にされて無い想定できる.
Googleでメールアドレスを検索してみた
返信先のメールアドレスがrecepcao1.rhc[@]hcchotels.com.brなので,これをごく普通にGoogleで検索してみた.
まず,facebookが検索された.メールのドメインはHCC Hotelsとなっているが,実際にはRadisson Hotels Curitibaの受付メールとなっている.Radisson Hotelsはアメリカの企業で,そのブランドをHCC Hotelsグループが使って営業しているのかと.
日本でも縁がないわけでも無い?
日本のぷららから,hcchotels.com[.]brのサーバに接続して,Vega ITのantispam.vegaturbo.com.br経由でメールを出したと考えるのが良さそう.
Matheus Quincozesさんが経営するVega ITという会社が運営するセキュアなメールサービスを経由して,HCC Hotelsのメールアドレスを語り,プロバイダのぷららが払い出すIPアドレスで送信した模様.
List-Subscribeにあったfriend.hcchotels.com[.]br
最後の手がかりのList-Subscribe.メーリングリストの機能があったのだろうけれど,これがFQDNを調査しても何も出てこない.すでに停止されたか.
BitCoinのアドレスを調査
振込先であるBit Coinのアドレスが記載されていたので,そのアドレスに対する流れを記載.
0.10944ビットコインが該当のアドレスに送金されている模様.
本日(2020年5月31日)時点での価格0.10944ビットコインは112,719.69円となっているので,要求された1000(たぶん1000ドル)に近いのかとお思われる.
迷惑メールが到着したメールをチェック
送信元だけでなく,受信したメールアドレスに登録してチェックしてみた.
ちゃんとMy Spaceが記載されていることがわかる.
現在のところの推論
ブラジルのHCC Hotelsが経営するのRadisson Hotels Curitibaの受付メールを語り,たぶん顧客向けのサービスを運営していたfriend.hcchotels.com[.]brにあったPHPmailerの脆弱性を利用して,日本のぷららに割り当てられているIPアドレスから,JavaMailを使って迷惑メールが送信された.
そのビットコインアドレスの持ち主には,20万円程度がすでに送信されていることも判明.
