我的 Gmail 帐户收到了一封非常明显的垃圾邮件。附加到电子邮件的是一个假定的 HTML 文件。我的第一个预感是它可能是以下之一:
我的猜测是它确实是一个 HTML 文件,因为 Gmail 声称附件的大小只有 1K。
我知道我可能应该将其标记为垃圾邮件并继续我的生活,但我的好奇心越来越强......我真的很想知道那个附件中有什么。有没有一种安全的方法可以将其下载到沙盒位置并检查内容?我正处于进入安全领域的职业生涯的开始阶段,我很想挑选出这个现实世界中可能令人讨厌的例子,看看它是如何运作的。
我认为 LiveCD 或 VM 会是一个安全的环境……我更愿意在干净、没有网络的环境中进行,但无论如何,我仍然会登录到我的 Gmail 帐户来下载事物。
有什么建议?
它也可能是:
3. 带有 JavaScript 代码的 HTML 页面试图利用浏览器中的漏洞。
4. 带有嵌入式 Java 小程序的 HTML 页面试图利用JVM 中的漏洞
5. 带有嵌入 Flash 文件的 HTML 页面试图利用Flash Player 中的漏洞
6. 在您打开附件之前,电子邮件本身可能会尝试利用您的电子邮件客户端中的漏洞
可能还有其他可能性。
为此,我有以下设置:
使用VirtualBox的虚拟机。没有网络访问权限。
在全新安装操作系统后,我为 VM 保存了一个快照。
我使用免费的 ISO creator仅在 Host -> VM 方向复制文件。
我创建.iso文件并挂载它。然后我可以在虚拟机本身上享受我想要的所有乐趣。
我通常运行恶意软件并研究内存使用情况、CPU 负载、监听端口、网络尝试。
我使用 What Changed? 检查对操作系统的更改?和 TrackWinstall。
最后我恢复到新的快照。
我拥有整个设置的原因是因为我喜欢运行恶意软件并查看它正在尝试做什么。
更新:
我正在与一位业余爱好执行恶意软件分析的同事交谈,他告诉我他的设置,它可能与您偶尔.html检查附件所需的不同。
安装全新操作系统的旧 PC。
安装所需工具后,他使用Clonezilla Live拍摄全盘映像。
快照比较发生了什么变化。
PC 通过单独的网络连接到 Internet。
每当他完成样本工作时,他都会使用 Clonezilla 重新启动并恢复完整的磁盘映像。
在 Gmail 中,单击右侧消息上方栏上带有小三角形的按钮。在弹出的菜单中,选择“显示原件”。现在 gmail 在另一个浏览器窗口中向您显示带有所有标题的原始消息。附件位于邮件正文中,经过 MIME 编码为无害文本。您可以剪切和粘贴 MIME 材料并使用一些 MIME 实用程序(例如Linux 或 Cygwin 上的munpack )对其进行解码。
最简单的方法是使用直接 HTTP 访问来保存文件并在记事本中打开它以检查内容。如果您直接将其视为数据,则该文件无法神奇地自行运行,并且您应该能够检查其内容。关键是确保您不会使用任何可以自动为您运行的东西来访问它。
更彻底一点,您可以使用虚拟机实际放开它,看看它做了什么,但为了简单检查,将其视为数据文件并使用数据分析工具访问它应该是安全的。
如果它们恰好针对 VM 漏洞,那么出现问题的可能性非常小,但是您的特定可疑文件快速识别和定位合适的 VM 漏洞以破坏沙箱的可能性几乎为零,除非您被专门针对甚至那么这可能是一个很低的可能性。
如果您已经打开了电子邮件而不是附件,那么您可以简单地保存附件。如果您对实际打开电子邮件感到紧张,可能会使用 Lynx 之类的东西。
我的答案是在没有硬盘驱动器的系统上运行的 liveCD,设置在 DMZ 网络中,无法访问任何其他内容。这样,恶意软件就无法写入任何内容,也无法尝试感染任何其他系统。虚拟机的问题在于恶意软件可能会尝试破坏主机。即使它不能使用某种管理程序攻击来感染(几乎不可能),它也可以简单地使用网络来尝试破解主机。