Life is fun and easy!
不正IP報告数
Okan Sensor
ページへ戻る
− Links
印刷
Maltego/4.2.9/01/20200606
の編集 ::
UJP
tech_regist2
:
Maltego
/
4.2.9
/
01
/
20200606
の編集
Maltego/4.2.9/01/20200606 の編集
詳細な入力項目を表示
ページタイトル
( 空白で自動設定 )
:
ページ並び順
( 0-9 小数可 標準:1 )
:
ページ別名
(複数は[
改行
]で区切る)
:
ページ内容:
*Maltegoで迷惑メールを可視化してみる2020.06.06版 [#v7b3fae9] **はじめに [#e036f73a] 迷惑メールが到着して数時間経過していると,分析しようにもサイトが閉鎖されていることが多い.それはそれで対応者は優秀だと思うのだけれど,分析の訓練をしている私にとっては,ちょっと残念. そう思っていた矢先,とうとう迷惑メールが到着して数分で気付いたので,さっそく可視化をしてみた. ***メールから情報を収集する [#k6b27b6d] 基本的には,メールヘッダの中にあるメールサーバのIPアドレス,ドメインと,フィッシングサイトなので誘導用のサイトのURLがあるので,そのホスト名,ドメイン名の情報を収集する. #ref(site://modules/xelfinder/index.php?page=view&file=7248&MeiwakuMail20200606_01.png,center,mw:600,mh:600) 今回はアマゾンを語るフィッシングサイト. #ref(site://modules/xelfinder/index.php?page=view&file=7249&MeiwakuMail20200606_02.png,center,mw:600,mh:600) まずはメールヘッダ.Amazonじゃなくてアーゾンになっている. メールサーバのFQDNをゲット. #ref(site://modules/xelfinder/index.php?page=view&file=7250&MeiwakuMail20200606_03.png,center,mw:600,mh:600) それぞれのFQDNからIPアドレスを調査.香港の模様. #ref(site://modules/xelfinder/index.php?page=view&file=7251&MeiwakuMail20200606_04.png,center,mw:600,mh:600) フィッシングサイトが使っているIPアドレスに割り当てられている別のドメインを調査. 見た目でこれは危ないというようなドメインが散見される. #ref(site://modules/xelfinder/index.php?page=view&file=7252&MeiwakuMail20200606_05.png,center,mw:600,mh:600) 数あるドメインのうちで,1つを適当にピックアップしてWebサイトがあることを確認. #ref(site://modules/xelfinder/index.php?page=view&file=7253&MeiwakuMail20200606_06.png,center) 検出されたFQDNは,ベトナムのセキュリティベンチャー会社CyRadarから疑わしいサイトとして評価されている模様. **フィッシングサイトにアクセスしてみる [#s93b993b] 迷惑メール到着ほやほやなので,フィッシングサイトにアクセスしてみた. #ref(site://modules/xelfinder/index.php?page=view&file=7254&MeiwakuMail20200606_07.png,center,mw:600,mh:600) よくある典型的なログインサイトを模したものになっている. #ref(site://modules/xelfinder/index.php?page=view&file=7255&MeiwakuMail20200606_08.png,center,mw:600,mh:600) 存在しなさそうな適当なメールアドレスを入力. #ref(site://modules/xelfinder/index.php?page=view&file=7256&MeiwakuMail20200606_09.png,center,mw:600,mh:600) パスワードも適当に入力. #ref(site://modules/xelfinder/index.php?page=view&file=7257&MeiwakuMail20200606_10.png,center,mw:600,mh:600) ログインできました. そして個人情報を投入しろという画面になる. よくみると,お届け先がアメリカになっている... #ref(site://modules/xelfinder/index.php?page=view&file=7258&MeiwakuMail20200606_11.png,center,mw:600,mh:600) 今回はChromiumを使っているのだけれど,サイトのソースコードを表示. #ref(site://modules/xelfinder/index.php?page=view&file=7260&MeiwakuMail20200606_13.png,center) アマゾンのロゴのファイルが登録されている.これは本物を登用したに違いない. #ref(site://modules/xelfinder/index.php?page=view&file=7259&MeiwakuMail20200606_12.png,center,mw:600,mh:600) back.pngという画像を確認. #ref(site://modules/xelfinder/index.php?page=view&file=7261&MeiwakuMail20200606_14.png,center,mw:600,mh:600) ログイン画面の後ろに表示されているものが1枚の画像になっている. この画像も日本向け. #ref(site://modules/xelfinder/index.php?page=view&file=7262&MeiwakuMail20200606_15.png,center,mw:600,mh:600) 気になったのがこのURL. #ref(site://modules/xelfinder/index.php?page=view&file=7263&MeiwakuMail20200606_16.png,center,mw:600,mh:600) このs.amazon-adsystem.comを調査すると,アマゾンの正式な広告サイトの模様. この広告IDを調査すれば,犯人のたどり着けるかもしれない...ただの偽装かもしれないが,つまりフィッシングサイトを見るだけで犯人に広告収入が入る可能性があるのかと.
編集の要約:
Q & A 認証:
ページ更新時は次の質問にお答えください。(プレビュー時は必要ありません)
Q:
「東京」の読みがな?(ひらがなで)
A:
お名前:
タイムスタンプを変更しない
テキスト整形のルールを表示する
[1]
添付ファイル
[2]
:
Links list
(This host) = http://www.ujp.jp
(This host)
/modules/tech_regist2/?cmd=edit&help=true&page=Maltego%2F4.2.9%2F01%2F20200606
(This host)
/modules/tech_regist2/?plugin=attach&pcmd=list&refer=Maltego%2F4.2.9%2F01%2F20200606
![[PukiWiki]](http://www.ujp.jp/modules/tech_regist2/image/pukiwiki.png "[PukiWiki]")
