水曜日, 7月 06, 2016

#OCJP-130: スパムボットに感染されたPCからのスパムメール(マルウェアurl)

昨日このスパムメールが届きました



そのメールを見たら、あれ?「JCOM」って「ZAQ.ne.jp」だっけ?とても怪しい…
さらに内容も英文で、そして海外のマルウェア転送URLが書いてあります…

ヘッターはこんな感じ↓


メールのルーティングと
MessageID<201607041021.u64AKeew025468@po.dcn.ne.jp>
を確認したら、「dcn.ne.jp」外部送信MTA(po.dcn.ne.jp / 219.105.32.8)から送信されたメールですね。
そして「dcn.ne.jp」さんの内部IP(ppp018.fc.pas.mobilenet.ne.jp / 219.105.46.50])経由でこのメールがリレーされていたそうです。

スパムメールのヘッターを見ると、送信元の情報は偽者ですが↓
J:COM <inf@JCOM.ZAQ.ne.jp>
↑このスパムテンプレを作った人が日本のサービスの事が分かると思われます。メールの内容は英文という事は海外から送信されたそうです。

全体的なメールテンプレのフォーマットを見たらスパムボットのテンプレっぽいですので、この件を見たら下記の2つ可能性が出て来ました↓
(1)2016年7月4日 19:21:24にあるボットネットに感染されたパソコンでppp018.fc.pas.mobilenet.ne.jpのIPに繋がって、このメールを送信されました。
(2)2016年7月4日 19:21:24にあるウェブ経由スパムボットをDCNさんの外部MTA(po.dcn.ne.jp)に繋ぎ、このメールを送信されました。

可能性(2)の確認でpo.dcn.ne.jpがSMTPオープンリレーがあるかどうかをテストしましょう↓

↑オープンリレーが無いとの事はウェブ経由スパムボットからの送信メールの可能性が低いですね。

本件の原因可能性(1)が高くなり、恐らくマルウェア・スパムボットに幹線されたPCから送られたスパムメールです。
取りあえずDCNさんとJP-CERTさんに本件を報告致します。
この件をきちんと対応してもらわないとDCNさんの外部MTA(po.dcn.ne.jp)が海外のSMTPブラックリストに登録される可能性が高いので、直ぐに対応した方がいいです。

因みにスパムメールに書いたURLはAngler ExploitKitに転送されてしまいましたので、そのURLを我々から連絡を行いクリーンアップ済みです。
もし今アクセスすると302の回答になります↓
Date: 2016-07-06 11:04:46
URL: http://coastalinfo.in/ck.htm
Resolving coastalinfo.in (coastalinfo.in)... 50.87.5.129
Connecting to coastalinfo.in (coastalinfo.in)|50.87.5.129|:80... connected.

---request begin---
GET /ck.htm HTTP/1.1
Referer: http://www.google.com
User-Agent: MalwareMustDie Checked You via Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 5.2) Java/1.6.0_26
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: identity
Host: coastalinfo.in
Connection: Keep-Alive
Accept-Language: en-us,en;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300

---response begin---
HTTP/1.1 302 Found
Date: Wed, 06 Jul 2016 02:04:46 GMT
Server: Apache
Location: http://coastalinfo.in/cgi-sys/suspendedpage.cgi
Content-Length: 295
Keep-Alive: timeout=10, max=500
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
X-Pad: avoid browser bug

追加情報として本メールに書いたIP情報は下記となります↓
219.105.32.8|po.dcn.ne.jp.|18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
{
  "ip": "219.105.32.8",
  "hostname": "po.dcn.ne.jp",
  "country": "JP",
  "loc": "35.6900,139.6900",
  "org": "AS18097 D.C.N. Corporation"
}

219.105.46.50|ppp018.fc.pas.mobilenet.ne.jp.|18097 | 219.105.32.0/20 | DCN | JP | dcn.ne.jp | D.C.N. Corporation
{
  "ip": "219.105.46.50",
  "hostname": "ppp018.fc.pas.mobilenet.ne.jp",
  "country": "JP",
  "loc": "35.6900,139.6900",
  "org": "AS18097 D.C.N. Corporation"

0 件のコメント:

コメントを投稿