Maltegoで迷惑メールを可視化してみる2020.05.14版 の変更点
技術情報2Maltego
/ 4.2.9 / 01 / 20200514meiwakumail の変更点
- ソース を表示
- Maltego/4.2.9/01/20200514meiwakumail へ行く。
1: 2020-05-14 (木) 15:23:14 nobuaki   |
現: 2020-05-14 (木) 23:33:11 nobuaki |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | *Maltegoで迷惑メールを可視化してみる [#r77bf8b3] | + | *Maltegoで迷惑メールを可視化してみる2020.05.14版 [#r77bf8b3] |
| **はじめに [#o5b57984] | **はじめに [#o5b57984] | ||
| Line 5: | Line 5: | ||
| OSINTの可視化ツールのMaltegoを使って,迷惑メールを可視化してみる. | OSINTの可視化ツールのMaltegoを使って,迷惑メールを可視化してみる. | ||
| - | 迷惑メールの中にある,メールヘッダにあるドメインやIPアドレス,メール本文にある誘導先サイトのドメイン名などを登録し,情報を抽出してみる. | + | 迷惑メールの中にある,メールヘッダにあるドメインやIPアドレス,メール本文にある誘導先サイトのドメイン名などを登録し,情報を可視化する. |
| **調査対象となるメール [#a6083db9] | **調査対象となるメール [#a6083db9] | ||
| - | 迷惑メールは今朝きたものを利用. | + | 迷惑メールは今朝来たものを利用.鮮度が高く無いとね.(後述) |
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=7047&MaltegoMaiwakuMail001.png,center) | ||
| + | LOUIS VUITTON Outlotと書いてあるけれど,迷惑メールで送付してくるくらいだから,本物ではないと思われ. | ||
| + | ここでわかるのは,数字のみで取得されたドメイン名とメールアドレス. | ||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=7048&MaltegoMaiwakuMail002.png,center) | ||
| + | 本文に,商品紹介があって,SHOP NOWボタンへカーソルをロールオーバすると,リンク先のURLがでてくる. | ||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=7057&MaltegoMaiwakuMail003.png,center,mw:600,mh:600) | ||
| + | このヘッダ情報で,メールサーバのIPアドレスやドメインなどがわかる.ただし,DkimやDomainkyeを設定してあるくらいなので,メールサーバはちゃんとしたもののような気もする... | ||
| + | |||
| + | |||
| + | **Maltegoで可視化してみる [#u33e756c] | ||
| + | |||
| + | ここまででわかったドメイン名やIPアドレスを使って,迷惑メールを可視化してみる. | ||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=7050&MaltegoMaiwakuMail004.png,center) | ||
| + | IPinfoやHaveIbeenPwnedを使ってみる. | ||
| + | 調べたい項目を,グラフエリアにドラッグ. | ||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=7051&MaltegoMaiwakuMail005.png,center) | ||
| + | 今回入手している情報としては,黄色い枠のメールサーバのドメイン,ホスト名,メールアカウントと,緑色のドメインとFQDNはメール本文に記載されていたもの. | ||
| + | |||
| + | これを可視化して見た. | ||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=7052&MaltegoMaiwakuMail006.png,center,mw:600,mh:600) | ||
| + | 1ブロックづつ,内容を確認する. | ||
| + | |||
| + | まずは,HaveIbeenPwnedを使って,流出したメールアドレスかどうかを確認. | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=7053&MaltegoMaiwakuMail007.png,center,mw:600,mh:600) | ||
| + | 調査した結果,流出アカウントでは無い確率は高いが,''&font(u){乗っ取られてないとは言えない};''. | ||
| + | |||
| + | 次に,メールサーバとそのドメインに関して調査. | ||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=7054&MaltegoMaiwakuMail008.png,center,mw:600,mh:600) | ||
| + | IPアドレスからCNのhefei,中華人民共和国の合肥市(がっぴし)という所にあるサーバのようだけれど,REDACTED FOR PRIVACYと書いてあるのでwhoisで調査できるgTLDコンタクトの登録情報は非開示. | ||
| + | |||
| + | 一応,VeriSignで証明書を取っているようで,Jiangsu Science & Technology Development Co Ltdとあって,これを調べると「江蘇Lianguan科学及びテクノロジー開発Co.既存の企業に基づいて2000年に確立されて、株式会社は複数の子会社で構成されるグループ株式会社である」「中国飲料包装機械, 機械設備メーカー/サプライヤー」となっているが,ルイ・ヴィトンのアウトレットを扱う会社なのかどうかは不明. | ||
| + | |||
| + | 次に,メール本文に記載されていたFQDNについて調査. | ||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=7055&MaltegoMaiwakuMail009.png,center,mw:600,mh:600) | ||
| + | こっちのサーバは,シンガポールにあるようで,アリババクラウド上でどう出されている模様.そして該当のFQDNは404になっているので,既にロックアウトされていました. | ||
| + | |||
| + | 急いで調べたけれど,遅かったか...早朝の5時にメールが来たけれど,半日足らずでロックアウトされていたのは,アリババ自体が信頼性が高く仕事も速い結果ということか. | ||
- Maltego/4.2.9/01/20200514meiwakumail のバックアップ一覧
- Maltego/4.2.9/01/20200514meiwakumail のバックアップ差分(No. All)
- 1: 2020-05-14 (木) 15:23:14 nobuaki
- 現: 2020-05-14 (木) 23:33:11 nobuaki
Counter: 1159,
today: 2,
yesterday: 0
