- 現在との差分 を表示
- ソース を表示
- Maltego/4.2.9/01/20200530 へ行く。
1: 2020-05-31 (日) 17:01:31 nobuaki | 2: 2020-05-31 (日) 18:57:10 nobuaki | ||
---|---|---|---|
Line 71: | Line 71: | ||
ドメインについて調べてみると,先ほどのMatheus Quincozesにつながりました. | ドメインについて調べてみると,先ほどのMatheus Quincozesにつながりました. | ||
- | Vega ITという会社が運営するセキュアなメールサービスを,マリオット・インターナショナル関係の子会社のHCCHotelsがブラジルで運営している何かが使っているということの模様. | + | **X-ClientProxiedBy: 118.20.147[.]202について調べる [#bd179a70] |
+ | |||
+ | 次に,X-ClientProxiedByで記録されているIPアドレスについて調査. | ||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7201&brazilmail8.png,center) | ||
+ | ここで日本のプロバイダの,「ぷらら」で仙台のIPアドレスが出てくる. | ||
+ | |||
+ | この迷惑メールは,日本からブラジルのサーバを経由して送信されている模様. | ||
+ | |||
+ | **オープンリレーされてないか確認する [#y45fbcf8] | ||
+ | |||
+ | メールサーバが踏み台になっている可能性があるので,ブラジルのサイトで抜け穴がないか確認. | ||
+ | |||
+ | 昔,たくさんあった?オープンリレーのチェックサイトも,悪いことに使われるからかサイトが閉じているものが覆うようで,今回はブラジル(笑)のサイトを使いました. | ||
+ | |||
+ | http[:]//www.antispam-ufrj.pads.ufrj[.]br | ||
+ | |||
+ | ※URLは無効化してあります. | ||
+ | |||
+ | まずはIPアドレスを投入. | ||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7203&brazilmail9.png,center,mw:600,mh:600) | ||
+ | テストを実行.テストには,2分程度かかる. | ||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7202&brazilmail10.png,center,mw:600,mh:600) | ||
+ | 今回,12個のテストが行われたが,Access Denniedになっているので,問題ない模様. | ||
+ | |||
+ | securemailとあるし,VEGA ITのメールサービスは踏み台にされて無い想定できる. | ||
+ | |||
+ | **Googleでメールアドレスを検索してみた [#k0fcf83a] | ||
+ | 返信先のメールアドレスがrecepcao1.rhc[@]hcchotels.com.brなので,これをごく普通にGoogleで検索してみた. | ||
+ | |||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7205&brazilmail11.png,center,mw:600,mh:600) | ||
+ | |||
+ | まず,facebookが検索された.メールのドメインはHCC Hotelsとなっているが,実際にはRadisson Hotels Curitibaの受付メールとなっている.Radisson Hotelsはアメリカの企業で,そのブランドをHCC Hotelsグループが使って営業しているのかと. | ||
+ | |||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7204&brazilmail12.png,center,mw:600,mh:600) | ||
+ | 日本でも縁がないわけでも無い? | ||
+ | |||
+ | 日本のぷららから,hcchotels.com[.]brのサーバに接続して,Vega ITのantispam.vegaturbo.com.br経由でメールを出したと考えるのが良さそう. | ||
+ | |||
+ | |||
+ | Matheus Quincozesさんが経営するVega ITという会社が運営するセキュアなメールサービスを経由して,HCC Hotelsのメールアドレスを語り,プロバイダのぷららが払い出すIPアドレスで送信した模様. | ||
+ | |||
+ | **List-Subscribeにあったfriend.hcchotels.com[.]br [#d5233618] | ||
+ | 最後の手がかりのList-Subscribe.メーリングリストの機能があったのだろうけれど,これがFQDNを調査しても何も出てこない.すでに停止されたか. | ||
+ | |||
+ | **BitCoinのアドレスを調査 [#kd461cac] | ||
+ | 振込先であるBit Coinのアドレスが記載されていたので,そのアドレスに対する流れを記載. | ||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7206&brazilmail13.png,center) | ||
+ | 0.10944ビットコインが該当のアドレスに送金されている模様. | ||
+ | |||
+ | 本日(2020年5月31日)時点での価格0.10944ビットコインは112,719.69円となっているので,要求された1000(たぶん1000ドル)に近いのかとお思われる. | ||
+ | |||
+ | **迷惑メールが到着したメールをチェック [#f5b107f7] | ||
+ | |||
+ | 送信元だけでなく,受信したメールアドレスに登録してチェックしてみた. | ||
+ | |||
+ | |||
+ | #ref(site://modules/xelfinder/index.php?page=view&file=7207&brazilmail14.png,center) | ||
+ | ちゃんとMy Spaceが記載されていることがわかる. | ||
+ | |||
+ | **現在のところの推論 [#o3108fb4] | ||
+ | ブラジルのHCC Hotelsが経営するのRadisson Hotels Curitibaの受付メールを語り,たぶん顧客向けのサービスを運営していたfriend.hcchotels.com[.]brにあったPHPmailerの脆弱性を利用して,日本のぷららに割り当てられているIPアドレスから,JavaMailを使って迷惑メールが送信された. | ||
+ | |||
+ | そのビットコインアドレスの持ち主には,20万円程度がすでに送信されていることも判明. |
- Maltego/4.2.9/01/20200530 のバックアップ一覧
- Maltego/4.2.9/01/20200530 のバックアップ差分(No. All)
- 1: 2020-05-31 (日) 17:01:31 nobuaki
- 2: 2020-05-31 (日) 18:57:10 nobuaki
- 現: 2020-05-31 (日) 21:37:31 nobuaki
Counter: 1064,
today: 1,
yesterday: 0