web-dev-qa-db-fra.com

Comment inspecter en toute sécurité une pièce jointe suspecte?

J'ai reçu un e-mail assez spammé sur mon compte Gmail. Attaché à l'e-mail est un fichier HTML supposé. Mon premier pressentiment était que c'était probablement l'un des suivants:

  1. Un fichier exécutable désagréable se faisant passer pour un simple fichier HTML, ou
  2. Un fichier HTML réel destiné à être ouvert dans un navigateur lors d'une attaque de phishing

Je suppose que c'est vraiment un fichier HTML, car Gmail prétend que la pièce jointe ne fait que 1 Ko.

Je sais que je devrais probablement simplement marquer cela comme du spam et continuer ma vie, mais ma curiosité prend le dessus sur moi ... Je veux vraiment savoir ce qu'il y a dans cet attachement. Existe-t-il un moyen sûr de le télécharger sur un emplacement en bac à sable et d'en inspecter le contenu? Je suis au début d'un changement de carrière dans le domaine de la sécurité, et j'aimerais choisir cet exemple concret de quelque chose de potentiellement méchant et voir comment cela se passe.

Je pense qu'un LiveCD ou un VM serait un environnement sûr ... Je préférerais le faire dans un environnement propre et sans réseau, mais en tout cas, je vais quand même connectez-vous à mon compte Gmail pour télécharger la chose.

Aucune suggestion?

37
lsdfapoinsafpr

Cela pourrait aussi être:

3. Page HTML avec du code JavaScript tentant d'exploiter une vulnérabilité dans votre navigateur .

4. Page HTML avec une Java tentant d'exploiter une vulnérabilité dans la JVM

5. Page HTML avec un fichier Flash incorporé tentant d'exploiter une vulnérabilité dans Flash Player

6. L'e-mail lui-même, avant d'ouvrir la pièce jointe, pourrait essayer d'exploiter une vulnérabilité dans votre client de messagerie

Il pourrait y avoir d'autres possibilités.

À cet effet, j'ai la configuration suivante:

  • Machine virtuelle utilisant VirtualBox . Pas d'accès au réseau.

  • J'ai un instantané enregistré pour le VM après une nouvelle installation du système d'exploitation.

  • Je prends également deux instantanés avec What Changed? et TrackWinstall .

  • Je copie des fichiers uniquement dans le sens Host -> VM, en utilisant un créateur ISO gratuit .

  • Je crée le .iso fichier et montez-le. Ensuite, je peux avoir tout le plaisir que je veux sur le VM lui-même.

  • J'exécute généralement les logiciels malveillants et j'étudie l'utilisation de la mémoire, la charge du processeur, les ports d'écoute et les tentatives de mise en réseau.

  • Je vérifie les modifications apportées au système d'exploitation à l'aide de Qu'est-ce qui a changé? et TrackWinstall.

  • Enfin, je reviens à l'instantané frais.

La raison pour laquelle j'ai toute l'installation est parce que j'aime exécuter le malware et voir ce qu'il essaie de faire.

Mise à jour:

Je parlais à un collègue qui effectue une analyse de logiciels malveillants comme passe-temps et il m'a parlé de sa configuration, cela pourrait être différent de ce que vous pourriez souhaiter pour un _ .html vérification des pièces jointes.

  • Ancien PC avec une nouvelle installation du système d'exploitation.

  • Après avoir installé les outils nécessaires, il prend une image complète du disque en utilisant Clonezilla Live .

  • Ce qui a changé pour les comparaisons d'instantanés.

  • Le PC est connecté à Internet via un réseau séparé.

  • Chaque fois qu'il a fini de travailler sur un échantillon, il redémarre avec Clonezilla et restaure l'image complète du disque.

28
Adi

Dans Gmail, cliquez sur le bouton avec le petit triangle sur la barre au-dessus du message, à droite. Dans le menu qui apparaît, sélectionnez "Afficher l'original". Maintenant, gmail vous montre le message brut avec tous les en-têtes, dans une autre fenêtre du navigateur. La pièce jointe est dans le corps du message, codée MIME en texte inoffensif. Vous pouvez couper et coller le matériel MIME et le décoder avec certains utilitaires MIME (par exemple munpack sous Linux ou Cygwin).

25
Kaz

L'approche la plus simple serait d'utiliser un accès HTTP direct pour enregistrer le fichier et l'ouvrir dans le Bloc-notes pour examiner le contenu. Le fichier ne peut pas fonctionner comme par magie si vous le traitez directement comme des données et vous devriez pouvoir en examiner le contenu. La clé est de vous assurer de ne pas y accéder avec quoi que ce soit qui pourrait exécuter automatiquement quelque chose pour vous.

Pour être un peu plus approfondi, vous pouvez utiliser un VM pour le laisser aller et voir ce qu'il fait, mais pour une simple vérification, le traiter comme un fichier de données et y accéder avec des outils d'analyse de données devrait être sûr.

Il y a très peu de chances que des problèmes ciblent une vulnérabilité VM, mais les chances que votre fichier douteux particulier identifie et cible rapidement un VM) = la vulnérabilité pour briser le sandbox est assez proche de zéro à moins que vous ne soyez spécifiquement ciblé et même alors c'est probablement une faible probabilité.

Si vous avez déjà ouvert l'e-mail et pas la pièce jointe, vous pouvez simplement enregistrer la pièce jointe. Si vous êtes nerveux à l'idée d'ouvrir le courrier électronique, quelque chose comme Lynx pourrait probablement être utilisé.

5
AJ Henderson

Un liveCD fonctionnant sur un système sans disque dur, installé dans un réseau DMZ sans accès à quoi que ce soit d'autre serait ma réponse. De cette façon, il n'y a rien que le malware pourrait écrire, et pas du tout pourrait tenter d'infecter tout autre système. Le problème avec un VM est que les logiciels malveillants pourraient tenter de compromettre la machine hôte. Même s'il n'est pas capable d'infecter en utilisant une sorte d'attaque d'hyperviseur (assez peu probable), il pourrait simplement utiliser le réseau pour tenter de casser la machine hôte.

4
GdD

Le moyen le plus simple serait d'envoyer le courrier à un service de numérisation en ligne.

Vous pouvez soumettre des fichiers à virustotal en envoyant l'e-mail à [email protected] Vous devrez changer le champ du sujet en "SCAN". Quand c'est fait, vous devriez recevoir un mail avec les résultats. Les soumissions par e-mail ne sont pas priorisées, il peut donc s'écouler un certain temps avant que les résultats ne reviennent.

Pour plus d'informations, vous pouvez visiter virustotal

Et bien sûr, vous ne devez pas transmettre d'informations sensibles.

2
Dog eat cat world

Obtenez un ordinateur portable. L'ordinateur portable ne contient pas de disque dur. Utilisez un CD de démarrage qui vous permet de démarrer à partir du port USB. Insérez une clé USB de 2 Go avec le système d'exploitation Tor Tails. Démarrez à partir de la clé USB. Connectez-vous à votre compte de messagerie, enregistrez la pièce jointe sur un disque RAM "virtuel". Déconnectez-vous ensuite de votre compte de messagerie. Ensuite, exécutez ou analysez votre pièce jointe. Tirez vos conclusions. Arrêtez l'ordinateur portable et le tour est joué. Aucune trace, aucun dommage. QED.

2
Peter