Come posso ispezionare in modo sicuro un allegato e-mail sospetto?

Naviga le tue risposte
34

Ho ricevuto un'e-mail sfacciatamente spam nel mio account Gmail. Non sono sicuro di come sia riuscito a farlo attraverso i filtri antispam, poiché ha tutti i segni rivelatori. Il campo FROM è falsificato come [email protected], ma le intestazioni rivelano l'IP del mittente come 178.90.188.166 ... che rimanda a un ISP in Kazakistan.

In ogni caso, allegato all'email è un presunto file HTML. La mia prima impressione è stata che probabilmente era una delle seguenti:

  1. Un brutto file eseguibile mascherato da un semplice file HTML o
  2. Un vero file HTML che deve essere aperto in un browser in un attacco di phishing

(modifica: O uno degli altri menzionati da @Adnan)

La mia ipotesi è che sia davvero un file HTML, poiché Gmail afferma che l'allegato ha una dimensione di 1K.

So che probabilmente dovrei solo contrassegnarlo come spam e andare avanti con la mia vita, ma la mia curiosità è ottenere il meglio di me ... Voglio davvero sapere cosa c'è in quell'attaccamento. C'è un modo sicuro per andare a scaricarlo in una posizione sandboxed e ispezionarne il contenuto? Sono all'inizio di un cambio di carriera nel campo della sicurezza, e mi piacerebbe mettere da parte questo esempio del mondo reale di qualcosa di potenzialmente sgradevole e vedere come funziona.

Penso che un LiveCD o una VM sarebbero un ambiente sicuro ... Preferirei farlo in un ambiente pulito e non collegato alla rete, ma in ogni caso, accedo comunque al mio account Gmail per scaricare la cosa.

Qualche suggerimento?

Aggiornamento:

Probabilmente stavo pensando a questo. Ho finito per assicurarmi che un file scaricato non venisse eseguito o aperto automaticamente in un browser, quindi controllato il codice sorgente. È davvero un file HTML che esegue alcuni JavaScript loschi. Stanno facendo alcune cose intelligenti nel codice, incluso il mascheramento di un documento destination.location reindirizzando come codice esadecimale. La conversione in ascii rivela la destinazione come script php su un dominio .ru (non lo condividerò perché voglio essere un buon cittadino di Internet). Non riesco a dare un senso al vero obiettivo del codice ... non è eccezionalmente complicato, ma è piuttosto confuso e contorto, presumibilmente per trarre vantaggio dai bug del browser (si dice che sia solo "compatibile con Internet Explorer").

In ogni caso, inizialmente non avevo intenzione di eseguire il file sospetto ... Volevo soprattutto vedere il codice sorgente. Ora sono tentato di impostare qualcosa di simile a @Adnan e di consigliarlo e provarlo.

    
posta sonofamitch 20.03.2013 - 16:38
fonte

6 risposte

26

3. Pagina HTML con codice JavaScript che tenta di sfruttare una vulnerabilità nel tuo browser .

4. Pagina HTML con un'applet Java integrata che tenta di sfruttare un vulnerabilità nella JVM

5. Pagina HTML con un file Flash incorporato che tenta di sfruttare un vulnerabilità in Flash Player

6. L'email stessa, prima di aprire l'allegato, potrebbe tentare di sfruttare una vulnerabilità nel tuo client di posta elettronica

Potrebbero esserci altre possibilità.

Per questo scopo, ho la seguente configurazione:

  • Macchina virtuale che utilizza VirtualBox . Nessun accesso di rete.

  • Ho uno snapshot salvato per la VM dopo una nuova installazione del sistema operativo.

  • Ho anche scattato due istantanee con What Changed? e TrackWinstall .

  • Copia i file solo nella direzione Host - > VM, utilizzando un creatore ISO gratuito .

  • Creo il file .iso e lo monto. Quindi posso avere tutto il divertimento che voglio sulla VM stessa.

  • Di solito eseguo il malware e studio l'utilizzo della memoria, il carico della CPU, le porte di ascolto, i tentativi di rete.

  • Controllo le modifiche al sistema operativo usando Cosa cambiato? e TrackWinstall.

  • Finalmente ripristino la nuova istantanea.

Il motivo per cui ho tutto il setup è perché mi piace eseguire il malware e vedere cosa sta cercando di fare.

Aggiornamento:

Stavo parlando con un collega che esegue l'analisi del malware come hobby e mi ha parlato della sua configurazione, potrebbe essere diverso da quello che potresti volere per un controllo occasionale del .html degli allegati.

  • Vecchio PC con una nuova installazione del sistema operativo.

  • Dopo aver installato gli strumenti necessari, acquisisce un'immagine a disco intero utilizzando Clonezilla Live .

  • Che cosa è cambiato per i confronti delle istantanee.

  • Il PC è connesso a Internet tramite una rete separata.

  • Ogni volta che finisce di lavorare su un campione, si riavvia con Clonezilla e ripristina l'immagine dell'intero disco.

risposta data 20.03.2013 - 16:54
fonte
24

In Gmail, fai clic sul pulsante con il triangolino sulla barra sopra il messaggio, sulla destra. Nel menu che si apre, seleziona "Mostra originale". Ora gmail ti mostra il messaggio non elaborato con tutte le intestazioni, in un'altra finestra del browser. L'allegato si trova nel corpo del messaggio, codificato MIME in testo innocuo. Puoi tagliare e incollare il materiale MIME e decodificarlo con alcune utilità MIME (ad es. munpack su Linux o Cygwin).

    
risposta data 21.03.2013 - 01:10
fonte
4

Un LiveCD in esecuzione su un sistema senza disco fisso, impostato in una rete DMZ senza accesso ad altro, sarebbe la mia risposta. In questo modo non c'è nulla in cui il malware possa scrivere e in nessun modo potrebbe tentare di infettare altri sistemi. Il problema con una VM è che il malware potrebbe tentare di compromettere la macchina host. Anche se non è in grado di infettare usando una sorta di attacco dell'hypervisor (piuttosto improbabile), potrebbe semplicemente usare la rete per tentare di rompere la macchina host.

    
risposta data 20.03.2013 - 16:46
fonte
4

L'approccio più semplice sarebbe utilizzare l'accesso diretto HTTP per salvare il file e aprirlo in Blocco note per esaminare il contenuto. Il file non può essere eseguito magicamente da solo se lo trattano direttamente come dati e dovresti essere in grado di esaminare i contenuti. La chiave è assicurarsi di non accedervi con qualcosa che potrebbe eseguire automaticamente qualcosa per te.

Per essere un po 'più accurato, puoi usare una VM per lasciarla andare e vedere cosa fa, ma per un semplice controllo, considerarla come un file di dati e accedervi con gli strumenti di analisi dei dati dovrebbe essere sicura.

C'è una possibilità molto ridotta di problemi se si trovano a dover affrontare una vulnerabilità VM, ma le probabilità che il tuo particolare file discutibile identifichi rapidamente e bersaglia una vulnerabilità VM adatta per rompere la sandbox sono molto vicine a zero a meno che tu non stia specificatamente mirato e anche allora è probabilmente una bassa probabilità.

Se hai già aperto l'e-mail e non solo l'allegato, puoi semplicemente salvare l'allegato. Se sei preoccupato di aprire effettivamente l'e-mail, probabilmente potrebbe essere usato qualcosa come Lynx.

    
risposta data 20.03.2013 - 17:11
fonte
2

Ottieni un laptop. Il portatile non contiene hard disk. Utilizzare un cd di avvio che consente di eseguire l'avvio dalla porta USB. Inserire una chiavetta USB da 2 GB con il sistema operativo Tor Tails. Avvia dalla chiavetta USB. Accedi al tuo account di posta elettronica, salva l'allegato su un disco ram "virtuale". Quindi disconnettersi dal proprio account e-mail. Quindi esegui o analizza il tuo allegato. Traccia le tue conclusioni. Spegni il portatile e voilà. Nessuna traccia, nessun danno. QED.

    
risposta data 21.03.2013 - 22:44
fonte
2

Il modo più semplice sarebbe quello di spedire la posta a un servizio di scansione online.

Puoi inviare i file a virustotal inoltrando l'email a [email protected] Dovrai cambiare il campo dell'oggetto in "SCAN". Al termine, dovresti ricevere una mail con i risultati. Le email inviate non hanno la priorità, quindi potrebbe volerci del tempo prima che i risultati tornino.

Per ulteriori informazioni, puoi visitare virustotal

E, naturalmente, non devi inoltrare informazioni sensibili.

    
risposta data 07.07.2014 - 13:54
fonte

Leggi altre domande sui tag

Come posso eliminare Windows dei miei dati privati quando la formattazione del disco non è un'opzione? Facebook memorizzando vecchie password compromette la sicurezza? [duplicare]