Frage:
Wie kann ich einen verdächtigen E-Mail-Anhang sicher überprüfen?
lsdfapoinsafpr
2013-03-20 20:38:26 UTC
view on stackexchange narkive permalink

Ich habe eine ziemlich krasse Spam-E-Mail an mein Google Mail-Konto erhalten. Der E-Mail ist eine angebliche HTML-Datei beigefügt. Meine erste Vermutung war, dass es wahrscheinlich eine der folgenden war:

  1. Eine böse ausführbare Datei, die sich als einfache HTML-Datei tarnt, oder
  2. eine tatsächliche HTML-Datei, die geöffnet werden soll in einem Browser bei einem Phishing-Angriff
    3. ol>

    Ich vermute, dass es sich wirklich um eine HTML-Datei handelt, da Google Mail behauptet, der Anhang sei nur 1 KB groß.

    Ich weiß, dass ich sollte dies wahrscheinlich nur als Spam markieren und mit meinem Leben weitermachen, aber meine Neugier ist es, das Beste aus mir herauszuholen ... Ich möchte wirklich wissen, was in diesem Anhang enthalten ist. Gibt es eine sichere Möglichkeit, es in eine Sandbox herunterzuladen und den Inhalt zu überprüfen? Ich stehe am Anfang einer Karriereverschiebung in den Sicherheitsbereich, und ich würde gerne dieses reale Beispiel für etwas möglicherweise Böses herausgreifen und sehen, wie es tickt.

    Ich denke an eine LiveCD oder Eine VM wäre eine sichere Umgebung ... Ich würde es vorziehen, dies in einer sauberen, nicht vernetzten Umgebung zu tun, aber auf jeden Fall werde ich mich trotzdem in meinem Google Mail-Konto anmelden, um das Ding herunterzuladen.

    Irgendwelche Vorschläge?

Sechs antworten:
Adi
2013-03-20 20:54:13 UTC
view on stackexchange narkive permalink

Es könnte auch sein:

3. HTML-Seite mit JavaScript-Code, die versucht, eine Schwachstelle in Ihrem Browser auszunutzen.

4. HTML-Seite mit einem eingebetteten Java-Applet, das versucht, eine Schwachstelle in der JVM auszunutzen

5. HTML-Seite mit einer eingebetteten Flash-Datei, die versucht, eine Schwachstelle in Flash Player auszunutzen

6. Die E-Mail selbst könnte vor dem Öffnen des Anhangs versuchen, eine Sicherheitsanfälligkeit in Ihrem E-Mail-Client auszunutzen.

Möglicherweise gibt es andere Möglichkeiten.

Zu diesem Zweck habe ich das folgende Setup:

  • Virtuelle Maschine mit VirtualBox. Kein Netzwerkzugriff.

  • Ich habe nach einer Neuinstallation des Betriebssystems einen Snapshot für die VM gespeichert.

  • Ich nehme auch zwei Schnappschüsse mit Was hat sich geändert? und TrackWinstall.

  • Ich kopiere Dateien nur in die Richtung Host -> VM mit einem kostenlosen ISO-Ersteller.

  • Ich erstelle die Datei .iso und mounte sie. Dann kann ich auf der VM selbst den ganzen Spaß haben, den ich möchte.

  • Normalerweise führe ich die Malware aus und untersuche die Speichernutzung, die CPU-Auslastung, die Überwachungsports und die Netzwerkversuche. P. >

  • Ich überprüfe die Änderungen am Betriebssystem mit What Changed? und TrackWinstall.

  • Schließlich stelle ich den neuen Snapshot wieder her.

Der Grund, warum ich das gesamte Setup habe, ist, dass ich Ich möchte die Malware ausführen und sehen, was sie versucht.

Update:

Ich habe mit einem Kollegen gesprochen, der führt eine Malware-Analyse als Hobby durch und erzählte mir von seinem Setup. Möglicherweise unterscheidet es sich von dem, was Sie für eine gelegentliche .html -Anhangprüfung wünschen.

  • Alter PC mit neuem Betriebssystem.

  • Nach der Installation der benötigten Tools erstellt er mit Clonezilla Live ein Image auf der gesamten Festplatte.

Was sich für Snapshot-Vergleiche geändert hat.

  • Der PC ist über ein separates Netzwerk mit dem Internet verbunden.

  • Wenn er mit der Arbeit an einem Sample fertig ist, startet er mit Clonezilla neu und stellt das Image der vollständigen Festplatte wieder her.

    • Ich mag den Punkt, den Sie machen ... es war kurzsichtig von mir zu behaupten, dass es nur zwei Möglichkeiten gibt. Ich erwähnte zufällig die ersten, die mir in den Sinn kamen, also danke, dass Sie einige andere aufgelistet haben. Ich habe einige Fragen zu Ihrem Ansatz. Würden Sie nicht zum Erstellen der ISO und zum Mounten in der VM die verdächtige Datei auf den Host herunterladen müssen, um die ISO zu erstellen (da die VM nicht vernetzt ist)?
    @Adnan, Ich denke, es ist erwähnenswert, dass Malware erkennen kann, ob sie sich in einer VM befindet, auch wenn sie nicht aus der VM ausbrechen kann, ihr Verhalten möglicherweise dennoch ändern kann, um ihren wahren Zweck zu maskieren. Eine weniger wahrscheinliche Funktion, aber immer noch möglich.
    Dies ist eine fantastische Antwort.Eine Sache, die hinzugefügt werden muss - es zeigt kein Ausführungsverhalten, aber als OP endete, beantwortet das Lesen des Quellcodes (auf sichere Weise) einige Fragen dort.Wie auch immer, 10/10 Antwort - danke!
    Erwähnenswert ist Qubes OS, wenn diese Art von Sicherheit gewünscht wird.Die GUI ist darauf ausgerichtet, und Qubes instanziiert automatisch Einweg-VMs und kopiert die Nachricht / Datei, wenn Sie sie bearbeiten oder sicher anzeigen.Es werden auch Einweg-VMs verwendet, um bestimmte Dateitypen wie PDF dauerhaft zu bereinigen.
    "Ich kopiere Dateien nur in Richtung Host -> VM mit einem kostenlosen ISO-Ersteller."Ich bin etwas verwirrt über diesen Schritt.Wir haben eine virtuelle Maschine, die wir brennen können.Stellen wir die Malware nur selbst auf eine ISO, um sie auf den Gastcomputer zu übertragen (anstatt einen freigegebenen Ordner zwischen dem Gast und dem Host zu haben?). Wie wäre es, wenn Sie die Dateifreigabe deaktivieren, sobald wir die Malware in die virtuelle übertragenMaschine aus dem freigegebenen Ordner stattdessen?
    Kaz
    2013-03-21 05:10:50 UTC
    view on stackexchange narkive permalink

    Klicken Sie in Google Mail auf die Schaltfläche mit dem kleinen Dreieck in der Leiste über der Nachricht rechts. Wählen Sie im daraufhin angezeigten Menü "Original anzeigen". Jetzt zeigt Ihnen Google Mail die Rohnachricht mit allen Kopfzeilen in einem anderen Browserfenster. Der Anhang befindet sich im Nachrichtentext und ist MIME-codiert in harmlosen Text. Sie können das MIME-Material ausschneiden, einfügen und mit einigen MIME-Dienstprogrammen (z. B. munpack unter Linux oder Cygwin) dekodieren.

    Ich liebe diese Antwort! Mir ist nicht in den Sinn gekommen, dass der eigentliche Anhang als Teil des E-Mail-Headers verschlüsselt wird, aber es ist absolut sinnvoll. Ich habe es getestet, indem ich den codierten Teil des Headers kopiert und in eine Textdatei eingefügt und dann mit openssl base64 unter OSX dekodiert habe. Dies scheint aus dem einfachen Grund viel weniger riskant zu sein, da es nicht automatisch ausgeführt wird, wie dies beim Herunterladen vom Browser der Fall sein könnte. Ich werde diese Methode für die zukünftige Verwendung ablegen. Vielen Dank!
    +1 * Dies * ist genau die Antwort auf die ursprüngliche Frage des OP. Jede E-Mail-App, mit der Sie den unformatierten ASCII-Wert der Nachricht anzeigen können, kann die Nachricht und alle Anhänge sicher anzeigen, unabhängig davon, ob es sich um eine Online- (GMail) oder eine eigenständige App (Outlook usw.) handelt. Von dort aus können Sie ausschneiden und einfügen, wo immer Sie möchten, um weitere Untersuchungen durchzuführen.
    Aber Sie lieben diese Antwort nicht genug, um ein grünes Häkchen zu setzen. * Schmollmund *! :) :) :)
    AJ Henderson
    2013-03-20 21:11:35 UTC
    view on stackexchange narkive permalink

    Der einfachste Ansatz wäre, die Datei mit direktem HTTP-Zugriff zu speichern und im Editor zu öffnen, um den Inhalt zu überprüfen. Die Datei kann sich nicht auf magische Weise selbst ausführen, wenn Sie sie direkt als Daten behandeln und in der Lage sein sollten, den Inhalt zu untersuchen. Der Schlüssel besteht darin, sicherzustellen, dass Sie nicht mit etwas darauf zugreifen, das automatisch etwas für Sie ausführen könnte.

    Um etwas gründlicher zu sein, können Sie eine VM verwenden, um sie tatsächlich loszulassen und zu sehen, was sie tut Für eine einfache Überprüfung sollte es jedoch sicher sein, sie als Datendatei zu behandeln und mit Datenanalysetools darauf zuzugreifen.

    Es besteht nur eine sehr geringe Wahrscheinlichkeit, dass Probleme auftreten, wenn sie auf eine VM-Sicherheitsanfälligkeit abzielen. Die Wahrscheinlichkeit, dass Ihre bestimmte fragwürdige Datei eine geeignete VM-Sicherheitsanfälligkeit zum Brechen der Sandbox schnell erkennt und darauf abzielt, ist jedoch nahezu gleich Null Sie werden gezielt angesprochen, und selbst dann ist die Wahrscheinlichkeit wahrscheinlich gering.

    Wenn Sie die E-Mail bereits geöffnet haben und nur nicht den Anhang, können Sie den Anhang einfach speichern. Wenn Sie nervös sind, die E-Mail tatsächlich zu öffnen, könnte wahrscheinlich etwas wie Lynx verwendet werden.

    Ich habe die E-Mail bereits geöffnet, aber nicht den Anhang. Schlagen Sie vor, dass ich den Anhang sicher herunterladen kann, vorausgesetzt, er wird nach dem Herunterladen nicht automatisch ausgeführt? Ich bin auf einem Mac und verwende Chrome ... wenn das einen Unterschied macht. Ich glaube nicht, dass ich irgendwelche Einstellungen habe, um beim Download etwas automatisch auszuführen.
    @sonofamitch - Ja, eine Datendatei kann nichts tun, ohne ausgeführt zu werden. Der Trick ist, dass es viele Dinge gibt, die eine Datei automatisch ausführen können. Das Herunterladen als Datei und das anschließende Öffnen mit einem einfachen Texteditor oder Hex-Editor sollte jedoch verhindern, dass etwas ausgeführt werden kann.
    Liest Ihr Betriebssystem die Datei, um festzustellen, ob ein Miniaturbildsymbol generiert werden kann? In diesem Fall können die Daten in der Datei dies für einen Exploit nutzen.
    Manchmal werden Fehler in VMs gefunden, durch die Code aus der Sandbox entweicht
    @SargeBorsch in der Tat, aber die Wahrscheinlichkeit, dass dies in einer bestimmten fragwürdigen Datei passiert, ist verdammt nahe Null, es sei denn, jemand wird speziell angesprochen. Ich habe aktualisiert, um die Möglichkeit zu erweitern, da dies möglich ist, auch wenn dies unwahrscheinlich ist.
    GdD
    2013-03-20 20:46:25 UTC
    view on stackexchange narkive permalink

    Eine Live-CD, die auf einem System ohne Festplatte ausgeführt wird und in einem DMZ-Netzwerk ohne Zugriff auf etwas anderes eingerichtet ist, wäre meine Antwort. Auf diese Weise kann die Malware nichts schreiben und auch nicht versuchen, andere Systeme zu infizieren. Das Problem mit einer VM besteht darin, dass Malware versuchen könnte, den Hostcomputer zu gefährden. Selbst wenn es nicht in der Lage ist, mit einer Art Hypervisor-Angriff zu infizieren (ziemlich unwahrscheinlich), könnte es einfach das Netzwerk verwenden, um zu versuchen, den Host-Computer zu knacken.

    Die Malware könnte in das BIOS oder den USB-Controller des Laptops schreiben.
    Peter
    2013-03-22 02:44:16 UTC
    view on stackexchange narkive permalink

    Besorgen Sie sich einen Laptop. Der Laptop enthält keine Festplatte. Verwenden Sie eine Boot-CD, mit der Sie vom USB-Port booten können. Fügen Sie einen 2 GB-Usbstick mit dem Tor Tails-Betriebssystem ein. Booten Sie vom USB-Stick. Melden Sie sich bei Ihrem E-Mail-Konto an und speichern Sie den Anhang auf einer "virtuellen" RAM-Disk. Melden Sie sich dann von Ihrem E-Mail-Konto ab. Führen Sie dann Ihren Anhang aus oder analysieren Sie ihn. Ziehen Sie Ihre Schlussfolgerungen. Fahren Sie den Laptop und Voila herunter. Keine Spur, kein Schaden. QED.

    Wie gut kann Tor Tails das Schreiben in das BIOS, den USB-Controller, das Netzwerkkarten-EPROM und das Grafikkarten-EPROM verhindern?
    Dog eat cat world
    2014-07-07 16:54:07 UTC
    view on stackexchange narkive permalink

    Am einfachsten ist es, die E-Mail an einen Online-Scan-Dienst weiterzuleiten.

    Sie können Dateien an virustotal senden, indem Sie die E-Mail an scan@virustotal.com weiterleiten. Sie müssen das Betrefffeld in "Ändern" ändern. SCAN". Wenn dies erledigt ist, sollten Sie eine E-Mail mit den Ergebnissen erhalten. E-Mail-Übermittlungen haben keine Priorität, daher kann es einige Zeit dauern, bis die Ergebnisse wieder verfügbar sind.

    Weitere Informationen finden Sie unter virustotal

    und von Natürlich sollten Sie keine vertraulichen Informationen weiterleiten.



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...