Analisi degli allegati email dannosi

Naviga le tue risposte
1

Ho una domanda riguardante le e-mail in arrivo con allegati malevoli sul mio server di posta elettronica. Quindi, la mia idea, nella mia configurazione ideale, è quella di avere una macchina da parte che esegue il software di virtualizzazione. Questo eseguirà tutti gli strumenti necessari per eseguire l'analisi del malware in cui inviare i supposti allegati malevoli da un altro sistema in cui l'e-mail sospetta sarebbe stata vista.

Ora la domanda è:

Quale sarebbe il meccanismo ideale da utilizzare per trasportare gli allegati sospetti dal client di posta elettronica al sistema di analisi con una quantità minima di interazione con il file, al fine di ridurre al minimo il rischio di infezione sul sistema primario?

    
posta dude 01.01.2016 - 14:16
fonte

2 risposte

4

Encrypt it.

Non appena hai identificato il file come dannoso, crittografalo con una coppia di chiavi in cui la chiave privata si trova sulla VM di analisi e non decrittografarla finché non l'hai nell'ambiente di salvataggio in cui desideri analizzarla.

Non appena il file viene crittografato, nessun dispositivo intermedio sarà in grado di fare nulla con esso, indipendentemente da quello che provano. Quindi è ora sicuro utilizzare qualsiasi meccanismo di trasferimento file che ritieni più conveniente.

Possibile debolezza: un bug nel software di crittografia stesso che può essere sfruttato quando un file dannoso viene crittografato. Ma considerando che molti sistemi di crittografia sono abbastanza semplici e abbastanza rigorosamente testati, lo ritengo improbabile.

    
risposta data 01.01.2016 - 14:59
fonte
0

Questo è difficile. Se li mandi in una sandbox (crittografandoli come suggerisce Philipp), come puoi trasmettere l'email se risulta non essere dannoso? Non puoi rimandarlo dalla sandbox perché altre email potrebbero averlo infettato.

Tuttavia, se lo memorizzi sul server di posta mentre aspetti i risultati dell'analisi, potresti essere infettato.

Suggerirei quindi di archiviare le e-mail in contenitori (che sono crittografati con una chiave del server di posta) in attesa dei risultati della sandbox, e se non sono dannosi per recuperare le e-mail.

La soluzione ideale sarebbe disporre di una sandbox per ogni e-mail dannosa (che consentirebbe di inviare le e-mail dalla sandbox se passano le analisi), ma ciò richiederebbe troppo potere di calcolo (rende più senso avere un set di sandbox che ripristini le istantanee ogni 5 minuti ad esempio o ogni volta che viene rilevato un malware).

    
risposta data 01.01.2016 - 15:30
fonte

Leggi altre domande sui tag

Accesso non autorizzato a una pagina - quando o se è necessario restituire il codice di stato HTTP 401 Come analizzare il log di netstat per le connessioni sospette?