- 現在との差分 を表示
- ソース を表示
- Maltego/4.2.9/01/20200530 へ行く。
1: 2020-05-31 (日) 17:01:31 nobuaki | |||
---|---|---|---|
Line 1: | Line 1: | ||
+ | *Myspaceから流出したメアドに来た迷惑メールを追跡する [#n11febf8] | ||
+ | **はじめに [#lf1587a3] | ||
+ | |||
+ | MySpaceで使っていたメールアドレスが流出したのだけれど,しばらくアカウントをオフにしておいたが,アカウントをオンにした途端に迷惑メールが到着したので,どういうものか調べてみる. | ||
+ | |||
+ | 明らかにするために,Maltegoを使って,色々なトランスフォームを使ってみる.(ほぼ練習) | ||
+ | |||
+ | **迷惑メールの確認 [#obb6a4e0] | ||
+ | |||
+ | どのようなメールが書きたか確認. | ||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7194&brazilmail1.png,center,mw:600,mh:600) | ||
+ | うちにもなんども届いた,こういう内容の迷惑メール. | ||
+ | |||
+ | 「私ハッカーは、あなたのオペレーティングシステムにアクセスしました。あなたのアカウントへのフルアクセスを獲得しています。数ヶ月間あなたの動向を見てきました。あなたが訪問されたアダルトサイトからマルウェアに感染しています。」 | ||
+ | |||
+ | セクストーション(性的脅迫)という種類になって,ハッキングして恥ずかしい情報を掴んだから,流出させたくなければビットコインで支払いなさいというもの. | ||
+ | |||
+ | ビットコインは匿名性が高いと言われているので,追跡が難しいので,資金洗浄によく使われるという話も聞く. | ||
+ | |||
+ | **迷惑メールから情報収集 [#fba92d76] | ||
+ | |||
+ | 今回到着したメールのヘッダを確認する. | ||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7195&brazilmail2.png,center,mw:600,mh:600) | ||
+ | ここでわかる情報は次の通り. | ||
+ | |||
+ | -Retun-Path:recepcao1.rhc[@]hcchotels.com.br | ||
+ | --メールの返信先となる.この迷惑メールについて返信先になるメールアドレス.ドメインだけでいえば,HCCホテルの受付の模様. | ||
+ | -Received: from antispam.vegaturbo.com[.]br 108.178.58[.]136 | ||
+ | --名前だけだと,ブラジルのvegaturboが提供するアンチスパムゲートウェイを経由しているようだが,スパムメール扱いされてないのかな. | ||
+ | -SpamTitan | ||
+ | --アイルランドのTitanHQ社が提供する低価格スパムフィルタの模様.VMware版とアプライアンス版があるそうだ.そのまま信じれば,vegaturboが提供するアンチスパムゲートウェイの実装がこれだと思われる. | ||
+ | -Received qmail | ||
+ | --最近は設計上のシステム性能上限もあるのであまり使われなくなったけれど,セキュアなメールサーバとして有名なqmailを使っている. | ||
+ | -JavaMaiil.jboss-kh[@]hcchotels.com.br | ||
+ | --迷惑メールの生成は,Javaのアプリケーションサーバ経由でJavaMailを使って送信されているということか. | ||
+ | -x-job: 2.2.9 (https[:]//hcchotels.com.br/PHPMailer/PHPMailer/) | ||
+ | --このヘッダをつけたアプリは特定できないけれど,PHPMailerというのはPHPのライブラリでSMTPサーバを利用してメールを出す時に利用される. | ||
+ | -X-ClientProxiedBy: 118.20.147[.]202 | ||
+ | --このメールヘッダに関する詳しい情報は調べきれなかったのだけれど,ClientProxiedとなっているので,メーラから最初のメールを受け取ったメールサーバでは無いかと推測した. | ||
+ | |||
+ | **迷惑メールを送信したメールアドレスが流出している可能性を検証する [#w0468ec7] | ||
+ | |||
+ | Retun-Pathで設定されているメールアドレスには,この迷惑メールに驚いて?ビットコインがわからなくて?問い合わせする人が出てくるかもしれない. | ||
+ | |||
+ | その場合,このメールアドレスが有効でなければならず,ホテルの受付っぽいメアドになっているので,パスワードが流出して乗っ取られている可能性がある. | ||
+ | |||
+ | まずはHave I Been Pwnedで調査. | ||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7196&brazilmail3.png,center) | ||
+ | 今回のメアドは,このHIBPでは登録されてない模様. | ||
+ | |||
+ | **送信メールを送信したドメインについて検証する [#o2e213ad] | ||
+ | |||
+ | hcchotels.com[.]brというドメインについて調べる. | ||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7197&brazilmail4.png,center) | ||
+ | HCC Hotelsは,バルセロナに数件あるホテルの模様.ブラジルのドメインとの関わりは不明. | ||
+ | |||
+ | フォーポイント バイ シェラトン クリチバというホテルがでてくる.現在価格8000円程度のビジネスホテルの模様.(COVIDの関係で安いだけかもしれないが) | ||
+ | |||
+ | また,Matheus Quincozesという人の名前が出てくるが,これはVega ITという会社のファウンダー&CEOらしい. | ||
+ | |||
+ | Webサイトにアクセスしても接続できないのだけれど,技術情報を可視化してみる. | ||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7198&brazilmail5.png,center,mw:600,mh:600) | ||
+ | SpamtitanやPleskを使っていたり,サーバはAmazonのバージニアリージョンに設置してある模様.SPFも登録されているしiPhoneにコンパチブル. | ||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7200&brazilmail7.png,center,mw:600,mh:600) | ||
+ | ドメインについて調べてみると,先ほどのMatheus Quincozesにつながりました. | ||
+ | |||
+ | Vega ITという会社が運営するセキュアなメールサービスを,マリオット・インターナショナル関係の子会社のHCCHotelsがブラジルで運営している何かが使っているということの模様. |
- Maltego/4.2.9/01/20200530 のバックアップ一覧
- Maltego/4.2.9/01/20200530 のバックアップ差分(No. All)
- 1: 2020-05-31 (日) 17:01:31 nobuaki
- 2: 2020-05-31 (日) 18:57:10 nobuaki
- 現: 2020-05-31 (日) 21:37:31 nobuaki
Counter: 1064,
today: 1,
yesterday: 0