Análisis de archivos adjuntos maliciosos

Cifrarlo.

Tan pronto como haya identificado el archivo como malicioso, cifrelo con un par de claves donde la clave privada se encuentra en la máquina virtual de análisis y no lo descifre hasta que lo tenga en el entorno de guardado donde desea analizarlo.

Tan pronto como el archivo esté cifrado, ningún dispositivo intermedio podrá hacer nada con él, sin importar lo que intenten. Por lo tanto, ahora es seguro utilizar el mecanismo de transferencia de archivos que considere más conveniente.

Posible debilidad: un error en el propio software de cifrado que puede ser explotado cuando un archivo malicioso está cifrado. Pero considerando que la mayoría de los sistemas de encriptación son bastante simples y están rigurosamente probados, lo consideraría poco probable.

Esto es difícil. Si los envía a un arenero (al encriptarlos como sugiere Philipp), ¿cómo transmite el correo electrónico si resulta que no es malicioso? No puedes devolverlo desde el sandbox porque otros correos electrónicos pueden haberlo infectado.

Sin embargo, si lo almacena en el servidor de correo mientras espera los resultados del análisis, podría infectarse.

Por lo tanto, sugeriría almacenar los correos electrónicos en contenedores (que están cifrados con una clave del servidor de correo) mientras se esperan los resultados de la zona de pruebas, y si no son maliciosos para recuperar los correos electrónicos.

La solución ideal sería tener una zona de pruebas para cada correo electrónico malicioso (que le permitiría enviar los correos electrónicos fuera de la caja de pruebas si pasan su análisis) pero eso requeriría demasiada capacidad de cálculo (hace es más sensato tener un conjunto de espacios aislados que vuelven a las instantáneas cada 5 minutos, por ejemplo, o cada vez que se descubre un malware).