Life is fun and easy!
不正IP報告数
Okan Sensor
ページへ戻る
− Links
印刷
Maltego/4.2.9/01/20200618
の編集 ::
UJP
tech_regist2
:
Maltego
/
4.2.9
/
01
/
20200618
の編集
Maltego/4.2.9/01/20200618 の編集
詳細な入力項目を表示
ページタイトル
( 空白で自動設定 )
:
ページ並び順
( 0-9 小数可 標準:1 )
:
ページ別名
(複数は[
改行
]で区切る)
:
ページ内容:
**Maltegoで迷惑メールを可視化してみる2020.06.18版 [#kedc1baa] **はじめに [#i3755bb7] 最近は,Amazonをかたる迷惑メールばかりで,面白くないのだけれど,なんだかわからないメールが来たので,可視化してみた. まぁ,これもちょっと気づくのが遅かったので,フィッシングサイトか偽ブランドショッピングサイトと思われるものは,既に無くなっていた. やはり調査もスピード命だね. 逆にいうと,怪しいメールが来たら,数日寝かせておくと,本当に怪しいサイトだったら潰されているし,その逆もあるということじゃないかな. **可視化の結果 [#zc3e4574] #ref(site://modules/xelfinder/index.php?page=view&file=7315&spam20200618_01.png,center,mw:600,mh:600) 今回の最初の調査対象は,誘導先のメールアドレスと,メールアドレス. このメールアドレスの途中に+があるのは,特徴出来だな.(Googleのサブメールアドレス取得の手法) #ref(site://modules/xelfinder/index.php?page=view&file=7313&spam20200618_02.png,center,mw:600,mh:600) そしてこのメールの文章は,何を示しているのかDeepLで翻訳.ちょっと何言っているのか,わかりません. #ref(site://modules/xelfinder/index.php?page=view&file=7314&spam20200618_03_mx_record.png,center) まずは,メールの返信先のMXレコードを調査.Google[.]comなのでGmailを使っている模様. #ref(site://modules/xelfinder/index.php?page=view&file=7312&spam20200618_04_WebSite.png,center,mw:600,mh:600) 誘導先のWebサイト.該当のIPアドレスには,複数のドメインが割り当てられていて,その一部にマルウェアがあると表示されている. #ref(site://modules/xelfinder/index.php?page=view&file=7311&spam20200618_05_hash.png,center) ハッシュ値を調べると,いくつかのセキュリティベンダでの評価が. #ref(site://modules/xelfinder/index.php?page=view&file=7310&spam20200618_06_hash_VirusTotal1.png,center,mw:600,mh:600) 詳細を確認するために,VirusTotalのサイトを確認したが,73分の5なので,悪いと言い切れないか. #ref(site://modules/xelfinder/index.php?page=view&file=7309&spam20200618_07_hash_VirusTotal2.png,center,mw:600,mh:600) 通信先(C2サーバか,リフレクション攻撃先か)にあたるIPアドレスが出ていたので,調査. #ref(site://modules/xelfinder/index.php?page=view&file=7308&spam20200618_08_Google.png,center,mw:600,mh:600) これもGoogleでした.172で始まるのでついつい,プライベートアドレスかな?って誤認識してしまう. #ref(site://modules/xelfinder/index.php?page=view&file=7307&spam20200618_09_MailHeader.png,center,mw:600,mh:600) 次にメールヘッダを確認してみたが,これもGmailで利用されているメールサーバなので,怪しいわけではない. #ref(site://modules/xelfinder/index.php?page=view&file=7306&spam20200618_10_website.png,center,mw:600,mh:600) そして誘導先のサイトに行ってみた. #ref(site://modules/xelfinder/index.php?page=view&file=7305&spam20200618_11_website_comment.png,center,mw:600,mh:600) フランス語で,ノーコメントと書かれているけれど,すぐ転送されちゃうね.Googleの検索ページに.これは封鎖されているからと考えている.
編集の要約:
Q & A 認証:
ページ更新時は次の質問にお答えください。(プレビュー時は必要ありません)
Q:
「大阪」の読みがな?(ひらがなで)
A:
お名前:
タイムスタンプを変更しない
テキスト整形のルールを表示する
[1]
添付ファイル
[2]
:
Links list
(This host) = http://www.ujp.jp
(This host)
/modules/tech_regist2/?cmd=edit&help=true&page=Maltego%2F4.2.9%2F01%2F20200618
(This host)
/modules/tech_regist2/?plugin=attach&pcmd=list&refer=Maltego%2F4.2.9%2F01%2F20200618
![[PukiWiki]](http://www.ujp.jp/modules/tech_regist2/image/pukiwiki.png "[PukiWiki]")
