1: 2020-06-18 (木) 01:30:00 nobuaki   |
現: 2020-06-18 (木) 01:47:50 nobuaki |
| | | | |
| | **可視化の結果 [#zc3e4574] | | **可視化の結果 [#zc3e4574] |
| | + | |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7315&spam20200618_01.png,center,mw:600,mh:600) |
| | + | 今回の最初の調査対象は,誘導先のメールアドレスと,メールアドレス. このメールアドレスの途中に+があるのは,特徴出来だな.(Googleのサブメールアドレス取得の手法) |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7313&spam20200618_02.png,center,mw:600,mh:600) |
| | + | そしてこのメールの文章は,何を示しているのかDeepLで翻訳.ちょっと何言っているのか,わかりません. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7314&spam20200618_03_mx_record.png,center) |
| | + | まずは,メールの返信先のMXレコードを調査.Google[.]comなのでGmailを使っている模様. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7312&spam20200618_04_WebSite.png,center,mw:600,mh:600) |
| | + | 誘導先のWebサイト.該当のIPアドレスには,複数のドメインが割り当てられていて,その一部にマルウェアがあると表示されている. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7311&spam20200618_05_hash.png,center) |
| | + | ハッシュ値を調べると,いくつかのセキュリティベンダでの評価が. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7310&spam20200618_06_hash_VirusTotal1.png,center,mw:600,mh:600) |
| | + | 詳細を確認するために,VirusTotalのサイトを確認したが,73分の5なので,悪いと言い切れないか. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7309&spam20200618_07_hash_VirusTotal2.png,center,mw:600,mh:600) |
| | + | 通信先(C2サーバか,リフレクション攻撃先か)にあたるIPアドレスが出ていたので,調査. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7308&spam20200618_08_Google.png,center,mw:600,mh:600) |
| | + | これもGoogleでした.172で始まるのでついつい,プライベートアドレスかな?って誤認識してしまう. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7307&spam20200618_09_MailHeader.png,center,mw:600,mh:600) |
| | + | 次にメールヘッダを確認してみたが,これもGmailで利用されているメールサーバなので,怪しいわけではない. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7306&spam20200618_10_website.png,center,mw:600,mh:600) |
| | + | そして誘導先のサイトに行ってみた. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7305&spam20200618_11_website_comment.png,center,mw:600,mh:600) |
| | + | フランス語で,ノーコメントと書かれているけれど,すぐ転送されちゃうね.Googleの検索ページに.これは封鎖されているからと考えている. |
下位
ページへ戻る
