【Technology】自分から届いた脅迫メール→中国の中古ドメイン市場への道
こんちはーす、今回はそんなに間空いてないです。前の日記から。
本日、ふとドメインメールの管理画面(ログ)をチェックしていたところ、バックグラウンドで「とんでもない事件」が起きていたことに気づきました。
いやね、このドメインのメールちょっと長めに放置してて。。。
すでに発生から1ヶ月ほど経っていたのですが、そのログの生々しさと、裏に見え隠れするサイバー犯罪の「ビジネスモデル」が面白すぎたのでDeep Diveしてみました。
ログの解析から、ドメインのWHOIS情報を地道に追いかけた結果、グローバルな「撃ち逃げ」の全貌が見えてきたので、記録に残しておきしたいと思います。
異変:自分から自分へ「変態野郎!」と届く大量のメール
事の始まりは、サーバーに残されていた大量の「ウィルス検出通知」でした。
「なにこれ、久々に見たけど結構な数だな」という感じで10通連発。
それも、ご丁寧に全て別ルート的な感じで。。。
わずか数分の間に、同じような通知が連発していたのを発見(めっちゃ目立つので「発見」しないほうがおかしいんですけどね)。
実際のログ(※安全のため一部マスキングしています)がこちら。
ウィルス検出通知/VIRUS DETECTION
メールの差出人:⚪︎⚪︎⚪︎@my-domain.com(自分)
宛先:me@my-domain.com(自分)
件名:YOU PERVERT! I RECORDED YOU!
検出ファイル:Pervert.zip/Pervert.scr(トロイの木馬ウイルス)
※参考リンク:Automated Malware Analysis Report for Pervert.scr
「あらあら、またこれは久々のなりすまし連発ですか」とワクテカで跳ね上がりました♪
最近、この手のなりすましは数が限られていたのと、なによりこんなに連発で送ってくるケースは僕の個人ドメイン宛にはなかったので。売り込み系は、アホほどあるんですけどね。
ちなみにこの Pervert.scr 、気になって海外のサンドボックス(マルウェア自動解析ツール)の公開レポートを探してみたら、やっぱり世界中で同じタイミングに検知されまくってました。
これ、開いた瞬間に裏でC2サーバー(犯人の司令塔)に通信を開始する、ガチなやつです。
開いたらやばいやつ。
件名は、典型的かつ伝統的なセクストーション(性的脅迫)スパム。
「お前の恥ずかしい動画を録画したから、添付ファイル(中身はウイルス)を見ろ」という恐怖心を煽るタイプのアレです。
まぁ、こういう古典的手法はずっと変わらないという話ですよね。
一次検証:アカウントはとりあえず無事!Xserverの素敵防衛
折角の機会だったので細かく調べてみることに。ヘッダーやログを丁寧に読みこむとまぁほんとに「よーここまでやるなー」という感じの仕掛けだったのですが、Xserverが素敵にいなしてくれていました。
今回のチェックで注目したのは、ヘッダーのこの部分。
Authentication-Results: ⚪︎⚪︎⚪︎⚪︎.xserver.jp;
dkim=none;
spf=softfail (⚪︎⚪︎⚪︎⚪︎.xserver.jp: 119.129.101.163 is neither permitted nor denied by domain of ⚪︎⚪︎⚪︎⚪︎@kluv-depth.com) smtp.mailfrom=⚪︎⚪︎⚪︎⚪︎@kluv-depth.com;
これは「これ、DKIMないし、送信元のIPアドレスが正規の送信元ではないよ」というエラー(dkim=none / spf= softfail)。つまり、犯人が「差出人の名前(From)だけを僕のアドレスに偽装して送ってきた」という、単なるなりすましだったというおはなし。
まぁ、よくある手法ですね。
ただ、ヨーやるわと思ったのは、この時10通くらいのメールが来ているのですが、ほぼ全てIPアドレスが別だったんです(ちなみに、いくつかは通っちゃってましたが、それはまた別として)。
ちなみに、立ち上げの第一段階サーバー(送信元)とこちらにアクセスしてきている第二段階サーバー(接続元)もご丁寧に全部別。がっつり組み立ててる。
ちなみに、添付されていたウイルス本体(トロイの木馬)は、Xserverが水際で消滅させてくれていました。アカウントは無事。実害もゼロ。まずは一安心(まぁ、ついていていも開きはしないんですが、最初から削除してくれるのはいいですよね)。
しかし、ここからが本題です。「一体、誰が、どこから、どうやって送ってきたのか?」
気になったので、さらなるログの深掘りを始めました。
深掘り:世界中の「踏み台」と、奇妙な「数字5桁ドメイン」
メールヘッダーに刻まれたIPアドレスを1通ずつ追跡してみると、恐ろしいというかなかなか興味深い事実が分かりました。
正直、「こんなん初めてみたわ!」って感じで。
いや、これまでちゃんと観察してなかっただけなんですけどね。。。多分。
- 17:37のメール:ロシアの家庭用回線から
- 18:24のメール:イランのデータセンターから
- 18:38のメール:ロシアのビジネス回線から
- 19:24のメール:イギリスのプロバイダから
- 22:53のメール:中国の通信会社から
世界中のウイルスに感染した一般PCや、セキュリティの甘いサーバー(ボットネット)が「踏み台」として遠隔操作され、数分おきにリレー送信されていたことがわかり。
「なかなか、丁寧に組み立ててスパム送るもんだなー」と感心していました。
いや、感心しちゃダメかもですが(苦笑)。
しかしまー、結構いろんな場所にセキュリティーホールがあるもんだなと思うと同時に、自分の身の回りも定期的にチェックしないとダメだなと改めて。
そして、ログを見ていて、ある奇妙な共通点に気づきました。 偽装されたメールの送信元(経由地)のドメインが、どれもこれも不自然だったのです。
54335.com77505.com86996.com00411.com11489.com
「全部、数字5桁.comのドメインやん……!」
犯人が何かしらの意図を持って、このドメイン群を使っているのは間違いないかなと思い。 というわけで、これらのドメインの身元(WHOIS情報)を片っ端から洗ってみることにしました。
核心:WHOISから見えるサイバー犯罪の「裏ビジネス」
ドメインの登録情報を調べていくと、パズルのピースがパチパチとはまるように、犯人の狡猾な手口が浮かび上がってきました。まぁ、これもある種の様式美なのかもなーとか。
発見①:ドメインが「20年モノの超高齢」
直前取得の新規取得ドメインは、セキュリティフィルターで弾かれ流ことが多いです。それを見越した犯人は、「2004年作成」「2009年作成」といった、長年インターネット上で寝かされていた歴史ある(信用度の高い)ドメインを意図的にピックして使っていました。
発見②:舞台は「中国の中古ドメイン市場」
ドメインの管理会社を調べると、中国大手の『聚名網(Juming)』や『Gname』などがズラリ。実は「数字5桁.com」というドメインは、中国のドメイン投資家たちの間で高値で売買される人気のジャンルらしいということが調べていてわかりました。中国では数字の組み合わせ(数代)に縁起の良い意味を持たせる文化があるので、そういう影響があるみたいです。
犯人は、中国の中古ドメイン取引プラットフォームで、これらのオールドドメインを大量に仕入れた(またはハッキングして乗っ取った)可能性が極めて高いなと感じました。
期限切れを、自動入札とかで抑えてるのかもなんですけど。
発見③:事件直後の「足跡消し」のタイムライン
これが一番の「おお!」と思わされたポイントでした。
僕の元にスパムが連発したのが5月21日。
そして、これらドメインの「Updated Date(更新日)」をチェックすると、なんと6月20日〜25日頃に集中していました。
つまり犯人は、
- 5月21日に、手に入れたドメインと世界中の踏み台をフル稼働させてスパムを大連発。
- 1ヶ月使い倒して、ドメインが世界中のブラックリストに載って汚れると、
- 6月後半にネームサーバーの設定を初期化して、ドメインを乗り捨てた(あるいはオークションへ転売)。
WHOISの更新履歴に、今回の犯人が「撃ち逃げ」していったリアルなタイムラインが刻まれていたのです。いや、行動はえーなという感じで。
現在、これらのドメインの多くは売り出し中の看板(AFTERNICなど)に書き換わっています。まさにドメインのロンダリング(洗浄)です。
表立っては、これがメールスパムの根っこだとはわからないですからねー。
補足:WHOISサーバーの逆鱗に触れて「33年アク禁」に?
ちなみに、いくつかのドメインを調べようとしたところ、WHOISサーバーから強烈な見た事ないようなエラーが返ってきました。
Rate limit exceeded. Try again after: 2562047h(約33年後にまた試してね)
世界中のセキュリティ機関や、あるいは犯人側のボットがアクセスしすぎたせいで、ドメイン自体が隔離されたか、サーバーが負荷増大を避けるために超厳戒態勢に入った痕跡のように感じて。
サイバー戦域の激しさを物語っています。
こんなのあるのねーと、これも学びになりました。
なんか、カイジの「1050年地下行き!」みたいだなーとか( ・∇・)
まとめ:ログの裏にあるドラマ
今回はXserverの優秀なフィルターのおかげで、色々学べたなーと。
しかし、届いた通知の裏側では、「中国の市場で仕入れた20年モノのドメインを使い、世界中の乗っ取りPCを遠隔操作して、スパムを撃ちまくっては1ヶ月で乗り捨てる」という、国際的でシステマチックな犯罪ビジネスが動いていたのです。
これも、本当時代だなーと。昔は、一回取得したドメインを温めて定期的に使うって感じが多かったイメージですが、回転が早くなってるんじゃないかなと思いました。
まじで、仕組み化されているんでしょうね。
たった十数通のウイルス通知ですが、ログとWHOISをクロス分析するだけで、なんか映画のような裏側を覗くことができました。いや、面白い。
改めて、なんでも分析してみるもんだなぁと考えました。
好きなんですよね、分析。
現場からは、以上です(`_´)ゞ
