土曜日, 1月 21, 2012

日本語携帯スパムメールの調査(Part 1): 何故携帯「なりすましフィルター」が利かないの?


週末になると沢山日本語のスパムメールが届く時期です。
携帯メールプロバイダーがスパムフィルター仕組みが持っていますが、漏れたスパムが未だ多いです。
ある酷い内容スパムメールが沢山届いたので、自分は何故本スパムメールにすり抜けたかと気になり、調査しました。

■サンプルは下記となります↓


■メールのソースを見たらこんな感じです↓
Delivered-To: my.himitsu.address@gmail.com Received: by 10.229.113.81 with SMTP id z17cs67714qcp; Fri, 20 Jan 2012 18:02:41 -0800 (PST) Received: by 10.68.74.170 with SMTP id u10mr1285434pbv.99.1327111359605; Fri, 20 Jan 2012 18:02:39 -0800 (PST) Return-Path: Received: from ezweb.ne.jp (mail102.ezweb.ne.jp. [111.86.156.37]) by mx.google.com with SMTP id j7si6990497pbd.179.2012.01.20.18.02.38; Fri, 20 Jan 2012 18:02:39 -0800 (PST) Received-SPF: softfail (google.com: domain of transitioning erbig-11802003-3154@oshiri-zanmai.jp does not designate 111.86.156.37 as permitted sender) client-ip=111.86.156.37; Authentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning erbig-11802003-3154@oshiri-zanmai.jp does not designate 111.86.156.37 as permitted sender) smtp.mail= erbig-11802003-3154@oshiri-zanmai.jp Return-Path: Received: from lsean.ezweb.ne.jp ([172.26.167.51]) by nm28imta01.ezweb.ne.jp id <20120121110238074.MA129.812F440@nm28imta01.ezweb.ne.jp>; Sat, 21 Jan 2012 11:02:38 +0900 Authentication-Results: ezweb.ne.jp; spf=pass smtp.mailfrom=erbig-11802003-3154@oshiri-zanmai.jp; sender-id=pass header.from=x2qgEp1DSG@z1b54.wwoex.com Received: from mk1.rst111.mx-forest.net (unknown [221.186.59.64]) by lsean.ezweb.ne.jp (EZweb Mail) with ESMTP id 0CD597D for ; Sat, 21 Jan 2012 11:02:38 +0900 (JST) From: x2qgEp1DSG@z1b54.wwoex.com Reply-To: x2qgEp1DSG@z1b54.wwoex.com To: honeypot@ezweb.ne.jp Subject: =?ISO-2022-JP?B?GyRCQihCYDJxJCwyREc9JEckOSEjIVpNVzNORychWxsoQg==?= X-MSKOL: ZXJiaWctMTE4MDIwMDMtMzE1NEBvc2hpcmktemFubWFpLmpw MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit Message-Id: <4f1a1cbf.e710440a.3cd5.ffffd8bfSMTPIN_ADDED@mx.google.com> Date: Sat, 21 Jan 2012 11:01:29 +0900 (JST) X-SPF-AUTH: Pass (lsean.ezweb.ne.jp: domain of oshiri-zanmai.jp designates 221.186.59.64 as permitted sender) client-ip=221.186.59.64; envelope-from=; helo=mk1.rst111.mx-forest.net; domain=oshiri-zanmai.jp; txt=v=spf1 ; auth=v1; 即時退会の御申込が頂けましたら 直ぐに処理を開始致します。 ▼此方より御申込下さい。 hxxp://z1b54.wwoex.com/wxp/?vu=11802003fa8b823a&mop=7&8kB4hMhP **l8歳未満利用禁止** -----)*(------ *お問い合わせ* hxxp://z1b54.wwoex.com/wxp/?vu=11802003fa8b823a&mop=2&8kB4hMhP *PT購入方法* hxxp://z1b54.wwoex.com/prize.php?uid=11802003&mail=honeypot@ezweb.ne.jp *新着メール確認* hxxp://z1b54.wwoex.com/rmg.php?id=11802003&mail=honeypot@ezweb.ne.jp&pass=0000&act=nw *TOPページ* hxxp://z1b54.wwoex.com/menu.php?vu=11802003fa8b823a    ※本メール内のコンテ ンツを利用する場合は 下記URLより穴三昧利 用規約]を確認し同意さ れた方のみ手続きを行 って下さい。 ※即退会希望には便利 な後払いPt追加が付与 されます ※ご希望する場合のみ クリックしてください -----)*(------ 本メールは honeypot@ezweb.ne.jp 宛へ送信されました。 【運営/企画元】 お尻の穴三昧事務局

↑私的には本当にキタナイ内容ですね。。。自分はこのメールを見たらがっかりしました。。

上記のスパムメールは私の携帯メール(ezweb)に届いてgmailに転送した物ですね。ヘッター情報を見たら確認が出来ます。
疑問がいろいろありますが、詰り:1)私のメールアドレスがどうやってばれたか、それとも2)携帯メールの「なりすましフィルター」をちゃんと設定しましたが何故かすり抜けたか。

本スパムメールのソースを確認しましたら、下記は調査注意点↓

■送信元のソース(IP)情報↓

Received: from mk1.rst111.mx-forest.net (unknown [221.186.59.64])

■SMTPのenvelope from情報↓

erbig-11802003-3154@oshiri-zanmai.jp

※そういう意味では「oshiri-zanmai.jp」のドメイン関係のメールですね。このドメインのインターネット情報を調べたら↓

■ドメインの登録情報↓

[Domain Name] OSHIRI-ZANMAI.JP [Registrant] Hiroyuki Kida [Name Server] dns0.hkrom.com [Name Server] dns0.hkrum.com [Signing Key] [Created on] 2011/12/05 [Expires on] 2012/12/31 [Status] Active [Last Updated] 2012/01/10 11:29:14 (JST) Contact Information: [Name] K-net Inc. [Email] k6566457@yahoo.co.jp [Web Page] [Postal code] 542-0071 [Postal Address] Chuouku , Osaka-shi 1-1-9 , doutonbori [Phone] 0570-012357

■インターネットのDNSレコード登録状況を確認↓
Tracing to oshiri-zanmai.jp[a] via a.root-servers.net., maximum of 1 retries a.root-servers.net. (198.41.0.4) |\___ a.dns.jp [jp] (2001:0dc4:0000:0000:0000:0000:0000:0001) Not queried |\___ a.dns.jp [jp] (203.119.1.1) | |\___ dns0.hkrum.com [oshiri-zanmai.jp] (210.249.53.50) Got authoritative answer | \___ dns0.hkrom.com [oshiri-zanmai.jp] (121.1.252.81) Got authoritative answer |\___ b.dns.jp [jp] (2001:0dc2:0000:0000:0000:0000:0000:0001) Not queried |\___ b.dns.jp [jp] (202.12.30.131) | |\___ dns0.hkrum.com [oshiri-zanmai.jp] (210.249.53.50) (cached) | \___ dns0.hkrom.com [oshiri-zanmai.jp] (121.1.252.81) (cached) |\___ f.dns.jp [jp] (2001:02f8:0000:0100:0000:0000:0000:0153) Not queried |\___ f.dns.jp [jp] (150.100.6.8) | |\___ dns0.hkrom.com [oshiri-zanmai.jp] (121.1.252.81) (cached) | \___ dns0.hkrum.com [oshiri-zanmai.jp] (210.249.53.50) (cached) |\___ g.dns.jp [jp] (203.119.40.1) | |\___ dns0.hkrum.com [oshiri-zanmai.jp] (210.249.53.50) (cached) | \___ dns0.hkrom.com [oshiri-zanmai.jp] (121.1.252.81) (cached) |\___ e.dns.jp [jp] (2001:0200:c000:0000:0000:0000:0000:0035) Not queried |\___ e.dns.jp [jp] (192.50.43.53) | |\___ dns0.hkrom.com [oshiri-zanmai.jp] (121.1.252.81) (cached) | \___ dns0.hkrum.com [oshiri-zanmai.jp] (210.249.53.50) (cached) |\___ c.dns.jp [jp] (2001:0502:ad09:0000:0000:0000:0000:0005) Not queried |\___ c.dns.jp [jp] (156.154.100.5) | |\___ dns0.hkrom.com [oshiri-zanmai.jp] (121.1.252.81) (cached) | \___ dns0.hkrum.com [oshiri-zanmai.jp] (210.249.53.50) (cached) |\___ d.dns.jp [jp] (2001:0240:0000:0000:0000:0000:0000:0053) Not queried \___ d.dns.jp [jp] (210.138.175.244) |\___ dns0.hkrum.com [oshiri-zanmai.jp] (210.249.53.50) (cached) \___ dns0.hkrom.com [oshiri-zanmai.jp] (121.1.252.81) (cached) ↑DNSのリクエストエラーが沢山出ましたね、エラーを纏めたら↓ no answer from a.dns.jp (203.119.1.1) no answer from dns0.hkrum.com (210.249.53.50) no answer from f.dns.jp (150.100.6.8) no answer from g.dns.jp (203.119.40.1) no answer from b.dns.jp (202.12.30.131) no answer from c.dns.jp (156.154.100.5) no answer from d.dns.jp (210.138.175.244) no answer from dns0.hkrom.com (121.1.252.81)
↑スパム新ドメインは急いで作って、次は何もメンテナンスしないので、沢山エラーが出たらよくある話ですね。

■インターネットルーティング情報↓

↑情報見たらインターネットのルーティングも中途半端な状態です。

■さくっとDNSレコードのdump情報↓
oshiri-zanmai.jp. 180 IN MX 10 mail.oshiri-zanmai.jp.
oshiri-zanmai.jp. 180 IN A 124.41.70.69
mail.oshiri-zanmai.jp. 180 IN A 124.41.70.69
oshiri-zanmai.jp. 180 IN SOA dns0.hkrum.com. root.hkrum.com. 2011121715 10800 3600 604800 1800
oshiri-zanmai.jp. 600 IN TXT "v=spf1 mx include:spf01.oshiri-zanmai.jp ~all"
spf01.oshiri-zanmai.jp. 180 IN TXT "v=spf1 include:spf12.oshiri-zanmai.jp ~all"
spf12.oshiri-zanmai.jp. 180 IN TXT "v=spf1 ip4:221.186.59.64/29 ip4:221.186.59.120/29 
                                            ip4:221.186.59.128/29 ip4:221.186.59.136/29 
                                            ip4:221.186.59.144/29 ~all"
oshiri-zanmai.jp. 180 IN NS dns0.hkrum.com.
oshiri-zanmai.jp. 180 IN NS dns0.hkrom.com.
dns0.hkrom.com.  280 IN A 121.1.252.81
dns0.hkrum.com.  280 IN A 210.249.53.50
↑この結果は非常に面白いですので、後で説明します。

■送信IP(221.186.59.64)の情報↓
IP: 221.186.59.131

131.59.186.221.in-addr.arpa.   IN      PTR

inetnum: 221.186.59.128 - 221.186.59.135
netname: K-NET
descr: K-NET Co.,Ltd.
country: JP
admin-c: JP00071933
tech-c: JP00071933
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: XXXXXXXXX@nic.ad.jp 20110926
source: JPNIC
※WHOIS登録結果は同じ会社ですね…

inetnum: 221.184.0.0 - 221.191.255.255
netname: OCN-JPNIC-JP
descr: NTT Communications Corporation
descr: 1-6 Uchisaiwai-cho 1-chome Chiyoda-ku, Tokyo 100-8019 Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : XXXXX@ocn.ad.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: XXXXXXXXXX@apnic.net 20030303
changed: XXXXXXXX@nic.ad.jp 20050401
source: APNIC

Geo地図↓

■調査結果
上記の情報を確認しましたら、何故かezwebのなりすましフィルターにすり抜けたかと分かりました。説明は↓
殆どなりすましフィルター技術はSPF仕組みフィルターです。本メールの送信来たらezwebサーバがSPFを確認しましたが結果はこのドメインがSPFのチェック的には大丈夫とんも結果でした、証拠は下記となります↓
spf=pass smtp.mailfrom=erbig-11802003-3154@oshiri-zanmai.jp;
X-SPF-AUTH: Pass (lsean.ezweb.ne.jp: domain of oshiri-zanmai.jp designates 221.186.59.64 
 as permitted sender) client-ip=221.186.59.64; envelope-from=;
 helo=mk1.rst111.mx-forest.net; domain=oshiri-zanmai.jp; txt=v=spf1 ; auth=v1;
上記のチェックには先ず送信IPアドレスがDNSにはスパムメールのドメインに登録されていると確認されました(txt=v=spf1 ; auth=v1;)。

ちょっと待って、oshiri-zanmai.jpのドメインに確認したらIPは124.41.70.69ですけど?
本スパムメールの送信元IP情報は全然違うネットワークなのに何故スパムの判定されなかった?
これってSPFフィルターが許したわけですか?

色んなメールのプロバイダーがSPF(Sender Policy Framework)のチェックフィルターを使い、利用した送信ドメイン認証を行っています。SPFは、お客様が受信するメールに対して、送信元メールアドレスのドメイン名の管理者が宣言している内容に基づき、送信に使用されたメールサーバの正当性を確認します。
上記のスパムドメインのDNSレコードのdump情報を確認しましょう、TXTレコードに下記のように書いてあります↓
oshiri-zanmai.jp. 600 IN TXT "v=spf1 mx include:spf01.oshiri-zanmai.jp ~all"
spf01.oshiri-zanmai.jp. 180 IN TXT "v=spf1 include:spf12.oshiri-zanmai.jp ~all"
spf12.oshiri-zanmai.jp. 180 IN TXT "v=spf1 ip4:221.186.59.64/29 ip4:221.186.59.120/29 
                                            ip4:221.186.59.128/29 ip4:221.186.59.136/29 
                                            ip4:221.186.59.144/29 ~all"

↑上記のDNSのTXTレコードの意味ははドメインのSPF情報となります、が、このドメインのSPF設定の書き方がカスケードとなります。
下記の流れようにSPF情報が依頼されいます↓
oshiri-zanmai.jp ⇒ spf01.oshiri-zanmai.jp ⇒ spf12.oshiri-zanmai.jp
何故こんな複雑な書き方でSPFのIPを登録したかというと、隠すの為だと思われます。
最期のレコード(spf12.oshiri-zanmai.jpのTXT)に下記のネットワークから”@oshiri-zanmai.jp”のメールを届くと、受けたメールサーバのSPF機能でチェックしたら結果が絶対大丈夫となります↓
221.186.59.64/29
221.186.59.120/29 
221.186.59.128/29
221.186.59.136/29 
221.186.59.144/29

WHOIS登録を検索したらオーナーは↓

inetnum:        221.186.59.64 - 221.186.59.71
netname:        K-NET
descr:          K-NET Co.,Ltd.
country:        JP

inetnum:        221.186.59.120 - 221.186.59.127
netname:        K-NET
descr:          K-NET Co.,Ltd.
country:        JP (全て調べたら同じ結果が出ますね)

ADMIN番号をJPNICに確認したら下記の情報が出ました↓

[グループ名]                    株式会社ケーネット
[Group Name]                    K-NET Co.,Ltd.
[電子メール]                    kkkk1_net@yahoo.co.jp
[組織名]                        株式会社ケーネット
[Organization]                  K-NET Co.,Ltd.
[電話番号]                      06-6282-7125
[最終更新]                      2011/09/26 13:53:16(JST)
↑確かに221.186.59.64が上記のネットワークに入っていますね。他のスパムメールを見たら、その他登録されたIPからのスパムメールも届きました、証拠は下記とります↓、まさに内容を見たら同じです。
From: pD49V6DfnK@z1b54.wwoex.com
Reply-To: pD49V6DfnK@z1b54.wwoex.com
To: honeypot@ezweb.ne.jp
Subject: =?ISO-2022-JP?B?GyRCRXYlNSUkJUgkKyRpJE5HWz8uJCxJLE1XJEokJD5sOWckTyQzJEEkaSRoJGokSSQmJD4bKEI=?=
X-MSIWA: ZXJiaWctMTE4MDIwMDMtMzE5MkBvc2hpcmktemFubWFpLmpw
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
Message-Id: <4f1a46d2.e72e440a.7fc0.ffffdbf2SMTPIN_ADDED@mx.google.com>
Date: Sat, 21 Jan 2012 14:00:57 +0900 (JST)
X-SPF-AUTH: Pass (lsean.ezweb.ne.jp: domain of oshiri-zanmai.jp designates 221.186.59.131 as permitted sender) 
client-ip=221.186.59.131; envelope-from=; helo=mk4.ryg153.mx-forest.net;
 domain=oshiri-zanmai.jp; txt=v=spf1 ; auth=v1;

From: VqL2lii0dg@z1b54.wwoex.com
Reply-To: VqL2lii0dg@z1b54.wwoex.com
To: honeypot@ezweb.ne.jp
Subject: =?ISO-2022-JP?B?GyRCNydDKyRHJDkkaCFEISM7ZCRIRjEkOD9NPG8kQCRIO1ckQyQ/JE4kRyRhJC…
X-MSBKJ: ZXJpbmZvLTExODAyMDAzQG9zaGlyaS16YW5tYWkuanA=
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
Message-Id: <4f1a7b4e.e710440a.2c2c.706aSMTPIN_ADDED@mx.google.com>
Date: Sat, 21 Jan 2012 17:44:58 +0900 (JST)
X-SPF-AUTH: Pass (lsean.ezweb.ne.jp: domain of oshiri-zanmai.jp designates 221.186.59.129 as permitted sender) 
client-ip=221.186.59.129; envelope-from=; helo=mk2.ryg153.mx-forest.net;
domain=oshiri-zanmai.jp; txt=v=spf1 ; auth=v1;

■K-NET Co.,Ltd.からのスパムですか?
色々調べたら、ドメインの登録情報スパムの送信元IP/ネットワーク逆引き登録情報を確認したら、同じオーナー「K-NET Co.,Ltd.」情報が出ましたので、この会社は本スパム関係があるじゃないかと思われます。確かにSPFレコードの設定を登録した時に管理者じゃないと出来ないので、この会社は非常にあやしいです。

本スパムに付いて、他のトリックもやっているみたいので、詰り↓
・日付けは本当の日付けを書かない事
・メールのFromの項目にまた別のドメイン(xxxxx@z1b54.wwoex.com)を書く事
↑全ての目的はフィルターをすり抜ける為です。

■スパムメールに書いたURLについて
携帯スパム文書に書いたURLをSURBLのデータベースに確認したら結果は↓


それで、携帯スパムに書いたURLをパソコンでアクセスが出来ない状況ですね。携帯ブラウザ経由では見れます。
これはウェブサーバにはIPアクセスの制限が設定してくれましたので、携帯ブラウザからのウェブ/HTTPリクエアストは携帯プロバイダーネットワークからが来るので、他のネットワークが見れない制限を書いたみたいですね。下記はいくつかsナップショット証拠です↓
携帯でのクリックしたら、ページが見えます…

↓ ↓ ↓


そして、他のネットワークからのウェブをアクセスするとHTTP403のエラーが出ました↓
> wget http://z1b54.wwoex.com/wxp/?vu=11802003fa8b823a&mop=5&2duiKYr9
--20:32:04--  http://z1b54.wwoex.com/wxp/?vu=11802003fa8b823a&mop=5&2duiKYr9
           => `index.html@vu=11802003fa8b823a&mop=5&2duiKYr9'
Resolving z1b54.wwoex.com... 124.41.70.69
Connecting to z1b54.wwoex.com|124.41.70.69|:80... connected.
HTTP request sent, awaiting response... 403 Forbidden
20:32:04 ERROR 403: Forbidden.

> curl http://z1b54.wwoex.com/wxp/?vu=11802003fa8b823a&mop=5&2duiKYr9
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /wxp/
on this server.</p>
<hr>
<address>Apache Server at z1b54.wwoex.com Port 80</address>
</body></html>

■スパムのラックリストフィルター(DNSBL)の確認結果↓
本スパムの送信元のネットワーク情報はもう既に色んなブラックリストに登録依頼を投げました。
結果は少しずつ出て来ましたので、例えば下記の情報です↓





※こんな時にやはりブラックリストのフィルターが必要ですね。直ぐに登録が出来ますので、便利です。
SPFが聴かない時にRBL/SURBLへ登録すればフィルターが出来ます。
現時点では信用が出来るブラックリストサービスが沢山ありますが、携帯プロバイダーのメールフィルターにはブラックリスト(DNSBL)・フィルター機能のオップションを追加した方がいいかも知れないですね。

----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

0 件のコメント:

コメントを投稿