Análisis de archivos adjuntos maliciosos

1

Tengo una pregunta relacionada con los correos electrónicos entrantes con archivos adjuntos maliciosos en mi servidor de correo electrónico. Entonces, mi idea, en mi configuración ideal, es tener una máquina a un lado ejecutando software de virtualización. Esto ejecutaría todas las herramientas necesarias para realizar el análisis de malware donde enviaría los supuestos archivos adjuntos maliciosos desde otro sistema donde se hubiera visto el correo electrónico sospechoso.

Ahora, la pregunta es:

¿Cuál sería el mecanismo ideal a usar para transportar los archivos adjuntos sospechosos del cliente de correo electrónico al sistema de análisis con una interacción mínima con el archivo, a fin de minimizar el riesgo de infección en el sistema primario?

    
pregunta dude 01.01.2016 - 14:16
fuente

2 respuestas

4

Cifrarlo.

Tan pronto como haya identificado el archivo como malicioso, cifrelo con un par de claves donde la clave privada se encuentra en la máquina virtual de análisis y no lo descifre hasta que lo tenga en el entorno de guardado donde desea analizarlo.

Tan pronto como el archivo esté cifrado, ningún dispositivo intermedio podrá hacer nada con él, sin importar lo que intenten. Por lo tanto, ahora es seguro utilizar el mecanismo de transferencia de archivos que considere más conveniente.

Posible debilidad: un error en el propio software de cifrado que puede ser explotado cuando un archivo malicioso está cifrado. Pero considerando que la mayoría de los sistemas de encriptación son bastante simples y están rigurosamente probados, lo consideraría poco probable.

    
respondido por el Philipp 01.01.2016 - 14:59
fuente
0

Esto es difícil. Si los envía a un arenero (al encriptarlos como sugiere Philipp), ¿cómo transmite el correo electrónico si resulta que no es malicioso? No puedes devolverlo desde el sandbox porque otros correos electrónicos pueden haberlo infectado.

Sin embargo, si lo almacena en el servidor de correo mientras espera los resultados del análisis, podría infectarse.

Por lo tanto, sugeriría almacenar los correos electrónicos en contenedores (que están cifrados con una clave del servidor de correo) mientras se esperan los resultados de la zona de pruebas, y si no son maliciosos para recuperar los correos electrónicos.

La solución ideal sería tener una zona de pruebas para cada correo electrónico malicioso (que le permitiría enviar los correos electrónicos fuera de la caja de pruebas si pasan su análisis) pero eso requeriría demasiada capacidad de cálculo (hace es más sensato tener un conjunto de espacios aislados que vuelven a las instantáneas cada 5 minutos, por ejemplo, o cada vez que se descubre un malware).

    
respondido por el whatever489 01.01.2016 - 15:30
fuente

Lea otras preguntas en las etiquetas