Analyse d'un spam FR ciblé
Après la réception de spam plutôt bien réalisés, je choisis de m'y intéresser. En effet, d'habitude je filtre assez vite les spams ayant des objets comme Diplomado en Dirección y Gestion de Recursos Humanos - Legislacion Laboral Actual cependant, ces derniers temps j'ai reçu du Travaux rue de l’Arche Le marché du jeudi est maintenu avec uniquement la vente de produits alimentaires
Disclaimer : les analyses réalisées par la suite n'engagent que moi. Les méthodes sont très simples et sont à reproduire avec beaucoup de prudence : vous exposez votre IP, et en cas de charge malveillante, vous risquez d'infecter votre PC.
Les trois mails se ressemblent très fortement :
Trois mails ont été reçus à quelques heures / jours d'écart.
Temporalité :
grep "^date:" *.eml
La petite commune de 4.000 habitants de La Suze-sur-Sarthe n'y est pour pas grand chose. En consultant le site d'origine https://www.lasuze.fr/, nous allons voir que le message (qui date du 05/12/2020) est incorrect . En effet, le site internet n'a probablement pas été piraté.
Ils pourraient cependant réaliser les actions suivantes :
Les mails sont reçus en SMTP par free qui ne les reconnait pas comme spam.
Dans les sources des emails, regardons la ligne Received la plus basse. En effet, chaque saut faisant transiter un email ajoute son bloc au dessus.
Received: from tlaxcal.com ([103.155.128.213])
by mx1-g20.free.fr (MXproxy) for myemailperso@free.fr;
Wed, 20 Jan 2021 09:19:23 +0100 (CET)
La forme de cette ligne est :Received: from domain1 ([IP1]) by domain2 ([IP2]) for email; date (Plus d'infos)
Pour chaque email reçu, récupérons des informations basiques :
whois tlaxcal.com
host -t MX tlaxcal.com
nmap -p 25 103.155.128.213
La présence en blacklist à la date de rédaction de l'article : https://mxtoolbox.com
domaine | IP | Block owner | MX | Nmap | Blacklist | |
---|---|---|---|---|---|---|
01.1 | tlaxcal.com | 103.155.128.213 | Amazon | aspmx.l.google.com. | filtered | 4/86 |
01.2 | 37fax.com | 14.188.118.43 | VNPT-VN | aucun | filtered | 8/86 |
02.1 | maleontv.com | 113.184.20.138 | VNPT-VN | aucun | filtered | 6/86 |
02.2 | bitnamihosting.com | 14.227.204.162 | VNPT-VN | mx-caprica.easydns.com. | filtered | 6/86 |
03.3 | r2-2.smtpout1.paris1.alwaysdata.com | 159.0.194.220 | STC-ALJAWAL | aucun | filtered | 3/86 |
Les IP émettrices semblent donc déjà identifiées comme malveillantes, mais sont toutes injoignables. J'interprète ce résultat comme des VPS utilisés jusqu'à apparaître dans des blacklists. D'où une parallèlisation quite à envoyer deux fois le même email.
From : Mairie de La Suze contact@lasuze.fr
Analysons la configuration antispam devant protéger le domaine lasuze.fr :
# host -t TXT lasuze.fr
lasuze.fr descriptive text "v=spf1 include:mx.ovh.com -all"
Seules les IPs (-all) de mx.ovh.com peuvent envoyer des emails du domaine lasuze.fr Voyons par recursivité :
# host -t TXT mx.ovh.com
mx.ovh.com descriptive text "v=spf1 ptr:mail-out.ovh.net ptr:mail.ovh.net ip4:8.33.137.105/32 ip4:192.99.77.81/32 ?all"```
En théorie, seules les IP 8.33.137.105/32 192.99.77.81/32 devraient pouvoir émettre des email avec le domaine lasuze.fr.
Ovh indique ses serveurs de mails sortant, mais conclus l'enregistrement SPF par une autorisation neutre (?all
). Comment est-il interprété par le serveur mail qui réceptionne ? Au vu des IP expéditeurs, le SPF n'est pas correctement mis en oeuvre.
Le MX me parait hyper large, et une faille sur le moindre site ou l'ajout d'un VPS permettrait d'émettre en tant que lasuze.fr. On se repose sur les contrôles et la tracabilité effectués par OVH.
X-Mailer: PHPMailer 5.2.23 (https://github.com/PHPMailer/PHPMailer)
Ça sent le mailer installé sur un site web pour spammer. Grâce à l'historique du projet sur github, on voit que la version de PHPMailer utilisée y est absente, il n'est donc pas impossible que cet entête soir totalement crafté, et que le mailer ne soit pas PHPMailer.
Le contenu est encodé en base64.
Liens dans le mail :
Il est intéressant de voir que les liens évoluent fortement, mais qu'il sont identiques entre les emails 01.1 et 01.2. Les liens sont systématiquement dans un dossier d'une seule lettre.
Les destinataires (To:
) sont tous très proches de mon email et le précèdent immédiatement dans l'ordre alphabétique.
Il est intéressant de voir que les prédécesseurs évoluent sur chaque email, ainsi que pour une même campagne.
01.1 To: kleindj@free.fr
01.2 To: khartchenkojp@free.fr
02.1 To: kldidine@free.fr
02.2 To: kathy.desloovere@free.fr
03.1 To: kleniec.expert@free.fr
Tous les destinataires connus (indiqués ici en To:
) sont chez free.fr.
Un Message-ID est un identifiant unique généré par le client émetteur ou par le premier serveur SMTP. Il est de la forme \id@domain\.Il est totalement déclaratif et peut être forgé.
Message-ID: 8b265f930195a6b8e69337d9c3adf14e@www.lasuze.fr Les id sont quasiment les mêmes voire les mêmes sur une même campagne.
Par défaut, PHPMailer (dernière version) génère un id aléatoire de 32 caractères et du hostname, pouvant être crafté. Il s'agit donc d'un indice complémentaire pouvant indiquer que PHPMailer a été utilisé.
Pour rappel, les liens vers lesquels on est amené à cliquer sont :
Analyse des URL :
host -t A raulietquetoi.com
wappalizer
lors de la consulation du sitewpscan --url http://raulietquetoi.com
Domaine | IPv4 | Description | Techno |
---|---|---|---|
http://raulietquetoi.com | 45.76.208.108 | Site web | Wordpress 4.8.1, Theme:htt-tea, Plugins : contact-form-7, woocommerce, wordpress-seo, wp-rocket, |
http://heavenlyhandsnyc.net | 198.46.94.246 | Site web | Wordpress 5.6, Theme: shapely-child Plugins: kali-forms, photo-gallery, smart-slider-3, woocommerce |
https://agence-litteraire-judith-lossmann.com | Erreur 403. Ce site français indique sur sa page Facebook avoir un problème sur son site le 17/12/2020 | ||
https://aptekagelios.ru/ | 104.21.89.101 172.67.140.18 | 1C-Bitrix |
Les sites semblent avoir wordpress, plugins woocommerce (aucun à jour) en point commun. Nous sommes donc probablement face à une intrusion d'un wordpress où le pirate a déposé un petit fichier HTML permettant un renvoi vers une IP maîtrisée.
Il aurait été plus simple pour l'attaquant d'indiquer directement les domaines maîtrisés, cependant, cette technique permet de limiter l'exposition de ces domaines qui sont coûteux à maîtriser. En effet, les domaines ne transitent pas directement dans les emails, et donc non visibles pour les solutions automatiques antispams.
Exception sur le dernier spam (03.1), où il ne s'agit plus d'un wordpress. L'exploitation d'une autre faille est probable.
Pour faciliter la présentation, j'utiliserai des outils simples. Le plus efficace et le plus propre aurait été d'utiliser Burp Suite pour suivre les communications.
curl http://raulietquetoi.com/g/
<html><body><script>window.location.replace("https://naazzm.3dconsultation.com/g/");</script></body></html>
L'URL http://heavenlyhandsnyc.net/m/ ne renvoie plus rien qu'une page par défaut du site légitime. Ce site semble donc corrigé.
Suivons la redirection...
Je suis curieux de savoir comment la destination récupère les paramètres de session transmis initialement (?qs=7381...). En effet, ces paramètres permettent d'identifier les emails dont les destinataires ont cliqué sur les liens ainsi que d'orienter vers une campagne correspondant à l'email envoyé. Ils sont probablement récupérés par l'entête HTTP_REFERER transmis par le navigateur.
curl https://naazzm.3dconsultation.com/g/
Renvoie une page vide avec curl, cependant, avec un navigateur, ça renvoie une nouvelle redirection. Je pense que l'URL en /g/ a pour objectif de rediriger selon la campagne en cours
Domain Name: 3DCONSULTATION.COM
Registry Domain ID: 1804741378_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.fastdomain.com
Registrar URL: http://www.fastdomain.com
Updated Date: 2020-05-15T15:43:44Z
Creation Date: 2013-05-29T15:10:48Z
Registry Expiry Date: 2021-05-29T15:10:48Z
Registrar: FastDomain Inc.
Registrar IANA ID: 1154
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.BLUEHOST.COM
Name Server: NS2.BLUEHOST.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2021-01-20T13:19:53Z <<<
[...]
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Domain Name: 3DCONSULTATION.COM
Registry Domain ID: 1804741378_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.bluehost.com
Registrar URL: http://www.bluehost.com/
Updated Date: 2020-05-15T15:43:44Z
Creation Date: 2013-05-29T15:10:48Z
Registrar Registration Expiration Date: 2021-05-29T15:10:48Z
Registrar: FastDomain Inc.
Registrar IANA ID: 1154
Registrar Abuse Contact Email: support@bluehost.com
Registrar Abuse Contact Phone: +1.8017659400
Reseller: BlueHost.Com
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: ROBERT ROCHA
Registrant Organization: COMMVANTAGE
Registrant Street: 2907 WEST BAY TO BAY BLVD., SUITE 345
Registrant City: TAMPA
Registrant State/Province: FLORIDA
Registrant Postal Code: 33629
Registrant Country: US
Registrant Phone: +1.8139028700
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: ROBERT@3DPRACTICE.COM
Registry Admin ID:
Admin Name: ROBERT ROCHA
Admin Organization: COMMVANTAGE
Admin Street: 2907 WEST BAY TO BAY BLVD., SUITE 345
Admin City: TAMPA
Admin State/Province: FLORIDA
Admin Postal Code: 33629
Admin Country: US
Admin Phone: +1.8139028700
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: ROBERT@3DPRACTICE.COM
Registry Tech ID:
Tech Name: BLUEHOST INC
Tech Organization: BLUEHOST.COM
Tech Street: 550 E TIMPANOGOS PKWY
Tech City: OREM
Tech State/Province: UTAH
Tech Postal Code: 84097
Tech Country: US
Tech Phone: +1.8017659400
Tech Phone Ext:
Tech Fax: +1.8017651992
Tech Fax Ext:
Tech Email: WHOIS@BLUEHOST.COM
Name Server: NS1.BLUEHOST.COM
Name Server: NS2.BLUEHOST.COM
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2020-05-15T15:43:44Z <<<
[...]
UNLIMITED storage, bandwidth and domains on one account. Also receive a *FREE* domain for one year when you host with http://www.bluehost.com/
3dconsultation.com (162.241.230.71, UNIFIEDLAYER-NETWORK-16) est un site web lié à la médecine. Je pense qu'il s'agit d'un domaine prétexte, c'est-à-dire donnant légitimité au domaine malveillant. Ainsi, https://3dpractice.com/ lui ressemble énormément, mais semble légitime. naazzm.3dconsultation.com 185.165.29.232 (Block : Serverius). Serveur délivrant les pages nous intéressant.
Autres domaines sur la même IP dès qu'on renouvelle la page :
On sent que plusieurs domaines semblent être hébergés. On va essayer d'en lister un maximum grace au site https://urlscan.io :
Une étude exhaustive et poussée serait nécessaire sur l'ensemble des domaines. On peut cependant faire apparaitre quelques similitudes :
Le serveur délivre la page intéressante par https, à l'instar de toutes les pages malveillantes.
Grâce au projet Certificate Transparancy, on dispose de l'historique des certificats par le site crt.sh
On sent finalement des sous-domaines dont le propriétaire détient le domaine.
Historique des certificats : https://crt.sh/?q=jandctireservice.com https://crt.sh/?q=malibumobilehomesforsale.com
On sent rapidement que les sous-domaines correspondent à des campagnes successives avec un VPS unique à chaque campagne : 14/01/2021 : 185.165.29.232 04/01/2021 : 88.218.16.232 08/12/2020 : 88.218.16.232 06/12/2020 : 45.87.1.219 21/09/2020 : 217.8.117.8 etc.
Il devient difficile d'être exhaustif, mais on sent que :
nmap -A naazzm.3dconsultation.com
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
| ssh-hostkey:
| 2048 08:58:00:20:31:c2:db:6f:d7:52:87:15:f9:f1:c4:0d (RSA)
| 256 13:08:ff:d5:94:bd:0d:3e:71:20:97:fa:7f:7f:0f:61 (ECDSA)
|_ 256 e8:65:f6:98:ce:4d:2c:a3:4b:24:b5:4a:63:ab:23:d6 (ED25519)
53/tcp closed domain
80/tcp open http nginx
| http-robots.txt: 1 disallowed entry
|_/
|_http-server-header: nginx
|_http-title: Did not follow redirect to http://google.com
443/tcp open ssl/http nginx
| http-robots.txt: 1 disallowed entry
|_/
|_http-server-header: nginx
|_http-title: Did not follow redirect to http://google.com
| ssl-cert: Subject: commonName=naazzm.3dconsultation.com
| Subject Alternative Name: DNS:naazzm.3dconsultation.com
| Not valid before: 2021-01-15T01:54:30
|_Not valid after: 2021-04-15T01:54:30
L'IP est localisée en Iran (https://iplocation.com)
En modifiant les appels à cette URL, on est redirigé vers des pages différentes :
La page n'embarque aucune charge et fait seulement peur. Même un son est lancé pour créer une ambiance véritablement anxiogène. Le contenu s'adapte à la langue du visiteur.
Le fichier son est très mauvais. Après téléchargement et extraction des métadonnées, on aperçoit un élément intéressant :
wget https://qvphg.umergencyapp.com/4502z/assets/alertmicrosoft_fr.mp3
exiftool alertmicrosoft_fr.mp3
Artist : TextAloud: IVONA Mathieu22 (French)
Finalement, il s'agit seulement d'un fichier généré par un ordinateur : https://harposoftware.com/en/french/158-mathieu-french-voice.html
La page conseille d'appeler le numéro de téléphone "09 70 44 92 18" pour plus d'information.
09 70 44 92 18
Le préfixe (source wikipedia) 09 70 4
renvoie vers l'opérateur B3G depuis 2007.
B3G a été racheté par Completel en 2009.
D'après Appelle inverse, le numéro ne semble pas surtaxé (je ne suis pas allé plus loin).
Par la suite, j'ai poursuivis, et j'ai été redirigé vers une autre campagne ou j'avais gagné un Iphone 12.
On est face à des voleurs qui tentent de vous faire appeler des numéros de téléphones ou une autre arnaque du moment.
Selon moi, ma compréhension du scénario est le suivant :
Et en autre conclusion, la commune de La Suze n'y est pour pas grand chose...
Outils utilisés :