¿Cómo puedo inspeccionar de forma segura un archivo adjunto de correo electrónico sospechoso?

34

Recibí un correo electrónico spam bastante descarado en mi cuenta de Gmail. No estoy muy seguro de cómo lo hizo a través de los filtros de spam, ya que tiene todos los signos reveladores. El campo FROM se falsifica como upsservices@ups.com, pero los encabezados revelan la IP del remitente como 178.90.188.166 ... que apunta a un ISP en Kazajstán.

De todos modos, adjunto al correo electrónico hay un supuesto archivo HTML. Mi primer presentimiento fue que probablemente era uno de los siguientes:

  1. Un archivo ejecutable desagradable enmascarado como un simple archivo HTML, o
  2. Un archivo HTML real destinado a abrirse en un navegador en un ataque de phishing

(edición: O uno de los otros mencionados por @Adnan)

Supongo que realmente es un archivo HTML, ya que Gmail afirma que el archivo adjunto solo tiene un tamaño de 1K.

Sé que probablemente debería marcar esto como spam y seguir con mi vida, pero mi curiosidad es obtener lo mejor de mí ... Realmente quiero saber qué hay en ese archivo adjunto. ¿Hay alguna forma segura de descargarlo en un lugar aislado e inspeccionar el contenido? Estoy al comienzo de un cambio de carrera en el campo de la seguridad, y me encantaría distinguir este ejemplo del mundo real de algo potencialmente desagradable y ver cómo funciona.

Estoy pensando que un LiveCD o una VM sería un entorno seguro ... preferiría hacerlo en un entorno limpio y sin red, pero en cualquier caso, seguiré accediendo a mi cuenta de Gmail para descargar la cosa.

¿Alguna sugerencia?

Actualizar:

Probablemente estaba pensando demasiado en esto. Terminé asegurándome de que un archivo descargado no se ejecutara o abriera automáticamente en un navegador, luego inspeccioné el código fuente. De hecho, es un archivo HTML que ejecuta un Javascript sombrío. Están haciendo algunas cosas inteligentes en el código, como enmascarar un documento de destino. La redirección de la ubicación como código hexadecimal. Convertirlo a ascii revela el destino como un script php en un dominio .ru (no lo compartiré porque quiero ser un buen ciudadano de Internet). No puedo entender el verdadero objetivo del código ... no es excepcionalmente complicado, pero está bastante confuso y complicado, probablemente para aprovechar los errores del navegador (dice ser "solo compatible con Internet Explorer").

De todos modos, originalmente no planeaba ejecutar el archivo sospechoso ... principalmente quería ver el código fuente. Ahora estoy tentado de configurar un poco de algo como lo recomienda @Adnan y darle una oportunidad.

    
pregunta sonofamitch 20.03.2013 - 16:38
fuente

6 respuestas

26

3. Página HTML con código JavaScript que intenta explotar una vulnerabilidad en su navegador .

4. Página HTML con un applet de Java incrustado que intenta explotar un vulnerabilidad en la JVM

5. "Página HTML con un archivo Flash incorporado que intenta explotar un vulnerabilidad en Flash Player

6. El correo electrónico en sí, antes de abrir el archivo adjunto podría intentar explotar una vulnerabilidad en su cliente de correo electrónico

Puede haber otras posibilidades.

Para este propósito, tengo la siguiente configuración:

  • Máquina virtual utilizando VirtualBox . No hay acceso a la red.

  • Tengo una instantánea guardada para la VM después de una nueva instalación del sistema operativo.

  • También tomo dos instantáneas con ¿Qué ha cambiado? y TrackWinstall .

  • Copio archivos solo en la dirección Host - > VM, utilizando un creador de ISO gratuito .

  • Creo el archivo .iso y lo monte. Entonces puedo tener toda la diversión que quiero en la máquina virtual en sí.

  • Por lo general, ejecuto el malware y estudio el uso de la memoria, la carga de la CPU, los puertos de escucha, los intentos de red.

  • Verifico los cambios en el sistema operativo usando What Changed? y TrackWinstall.

  • Finalmente restauro la instantánea nueva.

La razón por la que tengo la configuración completa es porque me gusta ejecutar el malware y ver qué está intentando hacer.

Actualizar:

Estaba hablando con un colega que realiza un análisis de malware como un pasatiempo y me contó acerca de su configuración, podría ser diferente a lo que podrías querer para una verificación de adjuntos .html de vez en cuando.

  • PC antigua con una instalación nueva del sistema operativo.

  • Después de instalar las herramientas necesarias, toma una imagen de disco completo utilizando Clonezilla Live .

  • Lo que cambió para las comparaciones de instantáneas.

  • La PC está conectada a Internet a través de una red separada.

  • Cada vez que termina de trabajar en una muestra, se reinicia con Clonezilla y restaura la imagen de disco completo.

respondido por el Adi 20.03.2013 - 16:54
fuente
24

En Gmail, haga clic en el botón con el pequeño triángulo en la barra sobre el mensaje, a la derecha. En el menú emergente, seleccione "Mostrar original". Ahora gmail te muestra el mensaje en bruto con todos los encabezados, en otra ventana del navegador. El archivo adjunto se encuentra en el cuerpo del mensaje, codificado MIME en texto inofensivo. Puede cortar y pegar el material MIME y decodificarlo con algunas utilidades MIME (por ejemplo, munpack en Linux o Cygwin).

    
respondido por el Kaz 21.03.2013 - 01:10
fuente
4

Un LiveCD ejecutándose en un sistema sin disco duro, configurado en una red DMZ sin acceso a otra cosa sería mi respuesta. De esa manera, no hay nada en lo que el malware pueda escribir, y de ninguna manera podría intentar infectar a otros sistemas. El problema con una máquina virtual es que el malware puede intentar comprometer la máquina host. Incluso si no es capaz de infectar utilizando algún tipo de ataque de hipervisor (es bastante improbable), simplemente podría usar la red para intentar descifrar la máquina host.

    
respondido por el GdD 20.03.2013 - 16:46
fuente
4

El enfoque más simple sería utilizar el acceso HTTP directo para guardar el archivo y abrirlo en el Bloc de notas para examinar el contenido. El archivo no puede ejecutarse mágicamente si lo trata directamente como datos y debería poder examinar el contenido. La clave es asegurarse de que no acceda a él con nada que pueda ejecutar algo automáticamente para usted.

Para ser un poco más completo, puede usar una máquina virtual para dejarlo ir y ver qué hace, pero para una simple comprobación, tratarlo como un archivo de datos y acceder a él con herramientas de análisis de datos debería ser seguro.

Hay una probabilidad muy pequeña de problemas si se dirigen a una vulnerabilidad de VM, pero las posibilidades de que su archivo cuestionable en particular identifique rápidamente y se dirijan a una vulnerabilidad de VM adecuada para romper el espacio aislado son casi nulas, a menos que esté específicamente dirigido e incluso entonces es probablemente una probabilidad baja.

Si ya ha abierto el correo electrónico y no el archivo adjunto, simplemente puede guardar el archivo adjunto. Si está nervioso por la apertura del correo electrónico, probablemente se podría usar algo como Lynx.

    
respondido por el AJ Henderson 20.03.2013 - 17:11
fuente
2

Consigue una laptop. El portátil no contiene disco duro. Use un CD de inicio que le permita iniciar desde el puerto usb. Inserte una memoria USB de 2GB con el sistema operativo Tor Tails. Arrancar desde la memoria usb. Inicie sesión en su cuenta de correo electrónico, guarde el archivo adjunto en un disco ram "virtual". Luego salga de su cuenta de correo electrónico. Luego ejecuta o analiza tu archivo adjunto. Saca tus conclusiones. Apaga el portátil y listo. Sin rastro, sin daño. QED.

    
respondido por el Peter 21.03.2013 - 22:44
fuente
2

La forma más sencilla sería enviar el correo a un servicio de escaneo en línea.

Puede enviar archivos a virustotal reenviando el correo electrónico a scan@virustotal.com Tendrá que cambiar el campo de asunto a "ESCANEAR". Cuando haya terminado, debe recibir un correo con los resultados. Los envíos por correo electrónico no tienen prioridad, por lo que los resultados pueden tardar un tiempo.

Para obtener más información, puede visitar virustotal

Y, por supuesto, no debe reenviar información confidencial.

    
respondido por el Dog eat cat world 07.07.2014 - 13:54
fuente

Lea otras preguntas en las etiquetas