it-swarm.dev

Come posso controllare in modo sicuro un allegato e-mail sospetto?

Ho ricevuto un'e-mail abbastanza evidentemente spam sul mio account Gmail. In allegato all'email è presente un presunto file HTML. Il mio primo sospetto fu che probabilmente era uno dei seguenti:

  1. Un brutto file eseguibile mascherato da semplice file HTML, oppure
  2. Un vero file HTML voleva essere aperto in un browser in un attacco di phishing

La mia ipotesi è che si tratti davvero di un file HTML, poiché Gmail afferma che l'allegato ha solo 1 KB di dimensioni.

So che dovrei probabilmente contrassegnarlo come spam e andare avanti con la mia vita, ma la mia curiosità sta ottenendo il meglio da me ... Voglio davvero sapere cosa c'è in quell'allegato. Esiste un modo sicuro per scaricarlo in una posizione sandbox e ispezionarne il contenuto? Sono all'inizio di un passaggio di carriera nel campo della sicurezza e mi piacerebbe scegliere questo esempio del mondo reale di qualcosa di potenzialmente cattivo e vedere come funziona.

Sto pensando a un LiveCD o a VM sarebbe un ambiente sicuro ... Preferirei farlo in un ambiente pulito, non collegato in rete, ma in ogni caso, continuerò comunque accedendo al mio account Gmail per scaricare la cosa.

Eventuali suggerimenti?

37
lsdfapoinsafpr

Potrebbe anche essere:

3. Pagina HTML con codice JavaScript che tenta di sfruttare a vulnerabilità nel browser .

4. Pagina HTML con un incorporato Java applet che tenta di sfruttare un vulnerabilità nella JVM

5. Pagina HTML con un file Flash incorporato che tenta di sfruttare un vulnerabilità in Flash Player

6. L'email stessa, prima di aprire l'allegato, potrebbe tentare di sfruttare un vulnerabilità nel tuo client di posta elettronica

Potrebbero esserci altre possibilità.

A tale scopo, ho la seguente configurazione:

  • Macchina virtuale che utilizza VirtualBox . Nessun accesso alla rete.

  • Ho uno snapshot salvato per il VM dopo una nuova installazione del sistema operativo.

  • Prendo anche due istantanee con What Changed? e TrackWinstall .

  • Copio i file solo nella direzione Host -> VM, usando un creatore ISO gratuito .

  • Creo il .iso file e montalo. Quindi posso divertirmi tutto sul VM stesso.

  • Di solito eseguo il malware e studio l'utilizzo della memoria, il carico della CPU, le porte di ascolto, i tentativi di rete.

  • Controllo le modifiche al sistema operativo usando What Changed? e TrackWinstall.

  • Alla fine ripristino la nuova istantanea.

Il motivo per cui ho l'intera configurazione è perché mi piace esegui il malware e vedo cosa sta cercando di fare.

Aggiornamento:

Stavo parlando con un collega che esegue analisi di malware come hobby e mi ha parlato della sua configurazione, potrebbe essere diverso da ciò che potresti desiderare per un occasionale .html controllo allegati.

  • Vecchio PC con una nuova installazione del sistema operativo.

  • Dopo aver installato gli strumenti necessari, prende un'immagine del disco intero usando Clonezilla Live .

  • Cosa è cambiato per i confronti delle istantanee.

  • Il PC è collegato a Internet tramite una rete separata.

  • Ogni volta che finisce di lavorare su un campione, si riavvia con Clonezilla e ripristina l'immagine dell'intero disco.

28
Adi

In Gmail, fai clic sul pulsante con il piccolo triangolo sulla barra sopra il messaggio, sulla destra. Nel menu che appare, seleziona "Mostra originale". Ora gmail ti mostra il messaggio non elaborato con tutte le intestazioni, in un'altra finestra del browser. L'allegato è nel corpo del messaggio, codificato MIME in testo innocuo. Puoi tagliare e incollare il materiale MIME e decodificarlo con alcune utility MIME (ad es. munpack su Linux o Cygwin).

25
Kaz

L'approccio più semplice sarebbe quello di utilizzare l'accesso HTTP diretto per salvare il file e aprirlo in Blocco note per esaminare il contenuto. Il file non può eseguirsi magicamente se lo tratti direttamente come dati e dovresti essere in grado di esaminarne il contenuto. La chiave è assicurarsi di non accedervi con nulla che possa eseguire automaticamente qualcosa per te.

Per essere un po 'più approfonditi, potresti usare un VM per lasciarlo andare e vedere cosa fa, ma per un semplice controllo, trattarlo come un file di dati e accedervi con strumenti di analisi dei dati dovrebbe essere sicuro .

Esiste una probabilità molto ridotta di problemi se si verificano come target di una vulnerabilità VM, ma le possibilità che il tuo particolare file discutibile identifichi rapidamente e miri a una vulnerabilità VM adeguata per rompere la sandbox sono abbastanza vicino allo zero a meno che tu non sia stato preso di mira in modo specifico e anche allora è probabilmente una bassa probabilità.

Se hai già aperto l'e-mail e non solo l'allegato, puoi semplicemente salvare l'allegato. Se sei nervoso per l'apertura effettiva dell'e-mail, è probabile che si possa usare qualcosa come Lynx.

5
AJ Henderson

Un liveCD in esecuzione su un sistema senza disco rigido, impostato in una rete DMZ senza accesso a nient'altro sarebbe la mia risposta. In questo modo non c'è nulla su cui il malware possa scrivere, e in nessun modo potrebbe tentare di infettare qualsiasi altro sistema. Il problema con un VM è che il malware potrebbe tentare di compromettere il computer Host. Anche se non è in grado di infettare usando una sorta di attacco hypervisor (abbastanza improbabile), potrebbe semplicemente utilizzare la rete per tentare di rompere la macchina host.

4
GdD

Il modo più semplice sarebbe inoltrare la posta a un servizio di scansione online.

Puoi inviare file a virustotal inoltrando l'e-mail a [email protected] Dovrai cambiare il campo dell'oggetto in "SCAN". Al termine, dovresti ricevere una mail con i risultati. L'invio di e-mail non ha la priorità, quindi potrebbe richiedere del tempo prima che i risultati ritornino.

Per ulteriori informazioni, è possibile visitare virustotal

E, naturalmente, non dovresti inoltrare informazioni sensibili.

2

Prendi un laptop. Il laptop non contiene alcun disco rigido. Utilizzare un cd di avvio che consente di eseguire l'avvio dalla porta USB. Inserire una chiavetta USB da 2 GB con il sistema operativo Tor Tails. Avvio dalla chiavetta USB. Accedi al tuo account e-mail, salva l'allegato su un disco ram "virtuale". Quindi disconnettersi dal proprio account di posta elettronica. Quindi esegui o analizza il tuo allegato. Trai le tue conclusioni. Spegni il laptop e voilà. Nessuna traccia, nessun danno. QED.

2
Peter