web-dev-qa-db-ja.com

疑わしいメールの添付ファイルを安全に検査するにはどうすればよいですか?

Gmailアカウントにかなり露骨なスパムメールを受信しました。メールに添付されているのは、想定されるHTMLファイルです。私の最初の直感は、それはおそらく以下のいずれかであるということでした:

  1. 単純なHTMLファイルを装った厄介な実行可能ファイル、または
  2. フィッシング攻撃でブラウザで開かれることを意図した実際のHTMLファイル

Gmailでは添付ファイルのサイズが1Kしかないため、実際にはHTMLファイルであると推測しています。

私はおそらくこれをスパムとしてマークし、私の人生を続けるべきだと知っていますが、私の好奇心は私にとって最高のものになっています...その添付ファイルの内容を本当に知りたいのです。サンドボックス化された場所にダウンロードして内容を検査する安全な方法はありますか?私はセキュリティ分野へのキャリア転換の始まりです。潜在的に厄介なもののこの現実世界の例を取り上げて、それがどのように動作するかを確認したいと思います。

LiveCDまたはVMは安全な環境になると思います...私はクリーンでネットワーク化されていない環境でそれをしたいと思いますが、いずれにせよ、私はまだGmailアカウントにログインしてダウンロードしてください。

助言がありますか?

malwareemailspam
37
lsdfapoinsafpr

また、次の場合もあります。

3。 ブラウザの脆弱性を悪用しようとするJavaScriptコードを含むHTMLページ

4。埋め込まれたHTMLページJavaアプレットが JVMの脆弱性]を悪用しようとしている

5。 Flash Playerの脆弱性を悪用しようとする埋め込みFlashファイルを含むHTMLページ

6。添付ファイルを開く前に、電子メール自体が 電子メールクライアントの脆弱性を悪用しようとする可能性があります

他の可能性があるかもしれません。

この目的のために、私は次の設定をしています:

  • VirtualBox を使用した仮想マシン。ネットワークアクセスなし。

  • OSの新規インストール後、VMのスナップショットを保存しました。

  • What Changed? および TrackWinstall を使用して、2つのスナップショットも作成します。

  • 無料のISO作成者 を使用して、ホスト-> VMの方向にファイルのみをコピーします。

  • _.iso_ファイルを作成してマウントします。そうすれば、VM自体に私が望むすべての楽しみを持つことができます。

  • 私は通常、マルウェアを実行して、メモリ使用量、CPU負荷、リスニングポート、ネットワーキングの試行を調査します。

  • What Changedを使用してOSへの変更を確認します。およびTrackWinstall。

  • 最後に、新しいスナップショットに復元します。

私が全体のセットアップを持っている理由は、マルウェアを実行して、マルウェアが何をしようとしているのかを確認したいためです。

更新:

マルウェアの分析を趣味として実行している同僚と話していたところ、彼は彼のセットアップについて話してくれました。たまにある_.html_添付ファイルチェックで何をしたいかとは異なるかもしれません。

  • 新しいOSがインストールされた古いPC。

  • 必要なツールをインストールした後、彼は Clonezilla Live を使用してフルディスクイメージを取得します。

  • スナップショット比較の変更点。

  • PCは別のネットワークを介してインターネットに接続されています。

  • 彼はサンプルの作業を終了するたびに、Clonezillaで再起動し、フルディスクイメージを復元します。

28
Adi

Gmailで、メッセージの上の右側のバーにある小さな三角形の付いたボタンをクリックします。ポップアップメニューで[オリジナルを表示]を選択します。これで、Gmailはすべてのヘッダーを含む生のメッセージを別のブラウザーウィンドウに表示します。添付ファイルはメッセージ本文にあり、無害なテキストにMIMEエンコードされています。 MIME素材をカットアンドペーストして、いくつかのMIMEユーティリティでデコードできます(例:LinuxまたはCygwinでは munpack )。

25
Kaz

最も簡単な方法は、直接HTTPアクセスを使用してファイルを保存し、メモ帳で開いて内容を確認することです。ファイルを直接データとして扱うと、ファイルを魔法のように実行することができず、内容を調べることができるはずです。重要なのは、自動的に何かを実行する可能性のあるものでアクセスしないようにすることです。

もう少し詳しく説明するために、VMを使用して実際にそれを実行し、それが何をするかを確認することができますが、簡単なチェックでは、データファイルとして扱い、データ分析ツールでアクセスします。安全でなければなりません。

VM脆弱性をターゲットにしている場合、問題が発生する可能性は非常にわずかですが、特定の疑わしいファイルが適切なVM =サンドボックスを破壊する脆弱性は、特にターゲットにされていない限り、nilに非常に近く、それでも可能性は低いです。

添付ファイルではなく電子メールを既に開いている場合は、添付ファイルを保存するだけです。電子メールを実際に開くことに不安がある場合は、おそらくLynxのようなものを使用できます。

5
AJ Henderson

DMZネットワークに設定されており、他に何もアクセスできないシステム上で実行されているliveCDが私の答えです。そのようにして、マルウェアが書き込むことができるものは何もありません。他のシステムへの感染を試みる可能性があります。VMの問題は、マルウェアがホストマシンに危害を加えようとする可能性があることです。ある種のハイパーバイザ攻撃を使用して感染することができない場合でも(かなりありそうもありません)、ネットワークを使用してホストマシンをクラックしようとするだけです。

4
GdD

最も簡単な方法は、メールをオンラインスキャンサービスに転送することです。

[email protected]に電子メールを転送することにより、virustotalにファイルを送信できます。件名フィールドを「SCAN」に変更する必要があります。完了すると、結果が記載されたメールが届きます。メール送信は優先されないため、結果が返されるまでに時間がかかる場合があります。

詳細については、 virustotal にアクセスしてください。

そしてもちろん、機密情報を転送すべきではありません。

2
Dog eat cat world

ラップトップを入手してください。ラップトップにはハードディスクは含まれていません。 USBポートから起動できるブートCDを使用します。 Tor Tails OSで2GBのUSBスティックを挿入します。 USBスティックから起動します。メールアカウントにログインし、添付ファイルを「仮想」RAMディスクに保存します。次に、電子メールアカウントからログアウトします。次に、添付ファイルを実行または分析します。結論を導き出します。ラップトップと出来上がりをシャットダウンします。痕跡なし、ダメージなし。 QED。

2
Peter