UJP - 技術情報2 : Maltegoで迷惑メールを可視化してみる2020.06.18版 Maltego/4.2.9/01/20200618

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

Maltegoで迷惑メールを可視化してみる2020.06.18版 anchor.png Edit

Page Top

はじめに anchor.png Edit

 最近は,Amazonをかたる迷惑メールばかりで,面白くないのだけれど,なんだかわからないメールが来たので,可視化してみた.

 まぁ,これもちょっと気づくのが遅かったので,フィッシングサイトか偽ブランドショッピングサイトと思われるものは,既に無くなっていた.

 やはり調査もスピード命だね.

 逆にいうと,怪しいメールが来たら,数日寝かせておくと,本当に怪しいサイトだったら潰されているし,その逆もあるということじゃないかな.

Page Top

可視化の結果 anchor.png Edit

index.php?page=view&file=7315&spam20200618_01.png

 今回の最初の調査対象は,誘導先のメールアドレスと,メールアドレス. このメールアドレスの途中に+があるのは,特徴出来だな.(Googleのサブメールアドレス取得の手法)

index.php?page=view&file=7313&spam20200618_02.png

 そしてこのメールの文章は,何を示しているのかDeepLで翻訳.ちょっと何言っているのか,わかりません.

index.php?page=view&file=7314&spam20200618_03_mx_record.png

 まずは,メールの返信先のMXレコードを調査.Google[.]comなのでGmailを使っている模様.

index.php?page=view&file=7312&spam20200618_04_WebSite.png

 誘導先のWebサイト.該当のIPアドレスには,複数のドメインが割り当てられていて,その一部にマルウェアがあると表示されている.

index.php?page=view&file=7311&spam20200618_05_hash.png

 ハッシュ値を調べると,いくつかのセキュリティベンダでの評価が.

index.php?page=view&file=7310&spam20200618_06_hash_VirusTotal1.png

 詳細を確認するために,VirusTotalのサイトを確認したが,73分の5なので,悪いと言い切れないか.

index.php?page=view&file=7309&spam20200618_07_hash_VirusTotal2.png

 通信先(C2サーバか,リフレクション攻撃先か)にあたるIPアドレスが出ていたので,調査.

index.php?page=view&file=7308&spam20200618_08_Google.png

 これもGoogleでした.172で始まるのでついつい,プライベートアドレスかな?って誤認識してしまう.

index.php?page=view&file=7307&spam20200618_09_MailHeader.png

 次にメールヘッダを確認してみたが,これもGmailで利用されているメールサーバなので,怪しいわけではない.

index.php?page=view&file=7306&spam20200618_10_website.png

 そして誘導先のサイトに行ってみた.

index.php?page=view&file=7305&spam20200618_11_website_comment.png

 フランス語で,ノーコメントと書かれているけれど,すぐ転送されちゃうね.Googleの検索ページに.これは封鎖されているからと考えている.


トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom
Counter: 671, today: 2, yesterday: 0
最終更新: 2020-06-18 (木) 01:47:50 (JST) (1370d) by nobuaki

広告スペース
Google