it-swarm.com.de

Wie kann ich einen verdächtigen E-Mail-Anhang sicher überprüfen?

Ich habe eine ziemlich krasse Spam-E-Mail an mein Google Mail-Konto erhalten. Der E-Mail ist eine angebliche HTML-Datei beigefügt. Meine erste Vermutung war, dass es wahrscheinlich eine der folgenden war:

  1. Eine böse ausführbare Datei, die sich als einfache HTML-Datei tarnt, oder
  2. Eine tatsächliche HTML-Datei, die bei einem Phishing-Angriff in einem Browser geöffnet werden soll

Ich vermute, dass es sich wirklich um eine HTML-Datei handelt, da Google Mail behauptet, der Anhang sei nur 1 KB groß.

Ich weiß, ich sollte dies wahrscheinlich nur als Spam markieren und mit meinem Leben weitermachen, aber meine Neugier ist es, das Beste aus mir herauszuholen ... Ich möchte wirklich wissen, was in diesem Anhang enthalten ist. Gibt es eine sichere Möglichkeit, es in eine Sandbox herunterzuladen und den Inhalt zu überprüfen? Ich stehe am Anfang einer Karriereverschiebung in den Sicherheitsbereich, und ich würde gerne dieses reale Beispiel für etwas potenziell Böses herausgreifen und sehen, wie es tickt.

Ich denke, eine LiveCD oder eine VM wäre eine sichere Umgebung ... Ich würde es vorziehen, dies in einer sauberen, nicht vernetzten Umgebung zu tun, aber auf jeden Fall werde ich es trotzdem tun Melden Sie sich in meinem Google Mail-Konto an, um das Ding herunterzuladen.

Irgendwelche Vorschläge?

37
lsdfapoinsafpr

Es könnte auch sein:

3. HTML-Seite mit JavaScript-Code, der versucht, eine Sicherheitslücke in Ihrem Browser auszunutzen .

4. HTML-Seite mit einem eingebetteten Java Applet, das versucht, eine Sicherheitsanfälligkeit in der JVM auszunutzen

5. HTML-Seite mit einer eingebetteten Flash-Datei, die versucht, eine Sicherheitsanfälligkeit in Flash Player auszunutzen

6. Die E-Mail selbst könnte vor dem Öffnen des Anhangs versuchen, eine Sicherheitsanfälligkeit in Ihrem E-Mail-Client auszunutzen

Es könnte andere Möglichkeiten geben.

Zu diesem Zweck habe ich das folgende Setup:

  • Virtuelle Maschine mit VirtualBox . Kein Netzwerkzugriff.

  • Ich habe einen Snapshot für die VM nach einer Neuinstallation des Betriebssystems gespeichert.

  • Ich mache auch zwei Schnappschüsse mit What Changed? und TrackWinstall .

  • Ich kopiere Dateien nur in Richtung Host -> VM mit einem freien ISO-Ersteller .

  • Ich erstelle das .iso Datei und mounten Sie es. Dann kann ich auf der VM selbst) den ganzen Spaß haben, den ich will.

  • Normalerweise führe ich die Malware aus und untersuche die Speichernutzung, die CPU-Auslastung, die Überwachungsports und die Netzwerkversuche.

  • Ich überprüfe die Änderungen am Betriebssystem mit What Changed? und TrackWinstall.

  • Schließlich stelle ich den neuen Schnappschuss wieder her.

Der Grund, warum ich das gesamte Setup habe, ist, dass ich die Malware gerne ausführen und sehe, was sie versucht zu tun.

Update:

Ich habe mit einem Kollegen gesprochen, der Malware-Analysen als Hobby durchführt, und er hat mir von seinem Setup erzählt. Es könnte anders sein, als Sie es sich gelegentlich wünschen. .html Anhangsprüfung.

  • Alter PC mit neuem Betriebssystem.

  • Nach der Installation der benötigten Tools erstellt er mit Clonezilla Live ein Image auf der gesamten Festplatte.

  • Was sich für Schnappschussvergleiche geändert hat.

  • Der PC ist über ein separates Netzwerk mit dem Internet verbunden.

  • Immer wenn er mit der Arbeit an einem Sample fertig ist, startet er mit Clonezilla neu und stellt das Image der vollständigen Festplatte wieder her.

28
Adi

Klicken Sie in Google Mail auf die Schaltfläche mit dem kleinen Dreieck in der Leiste über der Nachricht rechts. Wählen Sie im daraufhin angezeigten Menü "Original anzeigen". Jetzt zeigt Ihnen Google Mail die Rohnachricht mit allen Kopfzeilen in einem anderen Browserfenster. Der Anhang befindet sich im Nachrichtentext und ist MIME-codiert in harmlosen Text. Sie können das MIME-Material ausschneiden, einfügen und mit einigen MIME-Dienstprogrammen (z. B. munpack unter Linux oder Cygwin) dekodieren.

25
Kaz

Der einfachste Ansatz wäre, die Datei mit direktem HTTP-Zugriff zu speichern und im Editor zu öffnen, um den Inhalt zu überprüfen. Die Datei kann sich nicht auf magische Weise selbst ausführen, wenn Sie sie direkt als Daten behandeln und in der Lage sein sollten, den Inhalt zu untersuchen. Der Schlüssel ist, sicherzustellen, dass Sie nicht mit irgendetwas darauf zugreifen, das automatisch etwas für Sie ausführen könnte.

Um etwas gründlicher zu sein, können Sie ein VM) verwenden, um es tatsächlich loszulassen und zu sehen, was es tut, aber um es einfach zu überprüfen, als Datendatei zu behandeln und mit Datenanalysetools darauf zuzugreifen sollte sicher sein.

Es besteht eine sehr geringe Wahrscheinlichkeit, dass Probleme auftreten, wenn sie auf eine Sicherheitsanfälligkeit VM] abzielen, aber die Wahrscheinlichkeit, dass Ihre bestimmte fragwürdige Datei schnell eine geeignete VM) identifiziert und auf diese abzielt = Die Anfälligkeit, Sandbox zu beschädigen, ist nahezu gleich Null, es sei denn, Sie werden gezielt angegriffen, und selbst dann ist die Wahrscheinlichkeit wahrscheinlich gering.

Wenn Sie die E-Mail bereits geöffnet haben und nur nicht den Anhang, können Sie den Anhang einfach speichern. Wenn Sie nervös sind, die E-Mail tatsächlich zu öffnen, könnte wahrscheinlich etwas wie Lynx verwendet werden.

5
AJ Henderson

Eine Live-CD, die auf einem System ohne Festplatte ausgeführt wird und in einem DMZ - Netzwerk ohne Zugriff auf etwas anderes eingerichtet ist, wäre meine Antwort. Auf diese Weise gibt es nichts, auf das die Malware schreiben könnte, und auf keinen Fall könnte versuchen, andere Systeme zu infizieren. Das Problem mit a VM ist, dass Malware versuchen könnte, den Host-Computer zu gefährden. Auch wenn sie nicht in der Lage ist, mit einer Art Hypervisor-Angriff zu infizieren (ziemlich unwahrscheinlich), es könnte einfach das Netzwerk verwenden, um zu versuchen, den Host-Computer zu knacken.

4
GdD

Am einfachsten wäre es, die E-Mail an einen Online-Scan-Dienst weiterzuleiten.

Sie können Dateien an virustotal senden, indem Sie die E-Mail an [email protected] weiterleiten. Sie müssen das Betrefffeld in "SCAN" ändern. Wenn dies erledigt ist, sollten Sie eine E-Mail mit den Ergebnissen erhalten. E-Mail-Übermittlungen haben keine Priorität, daher kann es einige Zeit dauern, bis die Ergebnisse wieder verfügbar sind.

Weitere Informationen finden Sie unter virustotal

Und natürlich sollten Sie keine vertraulichen Informationen weiterleiten.

2

Besorgen Sie sich einen Laptop. Der Laptop enthält keine Festplatte. Verwenden Sie eine Boot-CD, mit der Sie vom USB-Port booten können. Fügen Sie einen 2 GB-Usbstick mit dem Tor Tails-Betriebssystem ein. Booten Sie vom USB-Stick. Melden Sie sich bei Ihrem E-Mail-Konto an und speichern Sie den Anhang auf einer "virtuellen" RAM-Disk. Melden Sie sich dann von Ihrem E-Mail-Konto ab. Führen Sie dann Ihren Anhang aus oder analysieren Sie ihn. Ziehen Sie Ihre Schlussfolgerungen. Fahren Sie den Laptop und Voila herunter. Keine Spur, kein Schaden. QED.

2
Peter