Investigação ativa - Analisando e-mails maliciosos

Caso de uso

Este módulo te ensinará como interpretar e entender e-mails maliciosos e encontrar a infraestrutura para a qual eles apontam. Quer eles sejam pura engenharia social, phishing, ou entrega de malware, emails maliciosos podem ser bem complexos. Embora o objetivo imediato desta competência seja identificar a infraestrutura do atacante, habilidades avançadas de desconstrução de e-mails complexos também são uma boa preparação para entender as campanhas de atacantes, e são uma boa introdução para analisar malware mais complicado. Algumas dessas técnicas também podem te ajudar a analisar mensagens suspeitas enviadas por outros meios, como o WhatsApp.

Observe que, durante a investigação ativa, pode ser necessário executar ações que alertarão o atacante sobre a investigação (ou, pelo menos, que alguém está interagindo com a armadilha dele). Considere se esse é ou não um custo aceitável para concluir uma investigação.

É melhor fazer esse tipo de análise a partir de uma máquina virtual ou dispositivo dedicado. Para proteção adicional, pode ser uma boa ideia usar uma VPN com boa reputação, para que seu endereço IP não vaze quando você estiver conduzindo uma investigação ativa.

Este módulo lida com a análise do corpo de um e-mail malicioso, enquanto o módulo Investigação passiva - Análise de cabeçalhos de e-mail lida com o cabeçalho do e-mail. Para investigações adequadas, convém usar as duas habilidades. Observe que a análise dos conteúdos e comportamentos dos anexos de e-mail é abordada na trilha de aprendizagem de Análise de Malware.

Objetivos

Após concluir este módulo, profissionais devem ser capazes de fazer o seguinte:

• Analisar o código HTML de um e-mail e entender o básico de MIME;
• Entender e detectar pixels de rastreamento e conteúdo ativo semelhante;
• Usar ferramentas como VirusTotal e URLScan para avaliar a presença de conteúdo malicioso em anexos e em URLs.

Seção principal

Conhecimento fundamental: e-mails HTML e MIME

Para praticar isto, você precisa entender o básico de e-mails HTML e MIME. Se achar necessário relembrar um pouco desse tópico, consulte alguns dos recursos sobre os tópicos-chave abaixo:

• A maioria dos e-mails é enviada no formato HTML, que permite o uso de vários métodos inteligentes de apresentação e enganação por phishers (pessoas que utilizam “iscas” para “fisgar” os seus alvos).
• Embora não seja necessário ser capaz de escrever HTML ou projetar páginas web, você deve se sentir confiante na sua capacidade de abrir e analisar o código-fonte de um email HTML, e entender os seus elementos mais essenciais. Para fazer isso, leia esta introdução a MIME e e-mails HTML.
• Saber algo sobre HTML é inevitável, e recursos como W3Schools podem te oferecer um bom ponto de partida. Observe também que alguns clientes de e-mail (por exemplo, Outlook) não te permitem baixar todo o corpo do e-mail.
• MIME é um padrão da Internet que estende o formato de e-mails além dos e-mails de texto simples e permite texto em conjuntos de caracteres que não sejam ASCII, anexos que não são em formato de texto, corpos de mensagens com várias partes e informações de cabeçalho em conjuntos de caracteres que não são ASCII. Funcionalidades MIME podem ser abusadas para ocultar conteúdo e anexar conteúdo malicioso. Este artigo da Wikipédia fornece uma boa introdução inicial.

Identificando potenciais ameaças: imagens incorporadas e pixels rastreadores

Ao investigar e-mails potencialmente maliciosos para descobrir infraestrutura de atacantes, não procure apenas por links e anexos. Os atacantes podem incluir rastreadores em seus e-mails, assim como os profissionais de marketing. Este artigo para profissionais de marketing explica como funciona o rastreamento de e-mail. Observe que qualquer recurso carregado na web, não apenas imagens, pode ser usado para rastreamento. Revise os tipos de informações que podem ser obtidas através de um pixel rastreador ou um elemento rastreador, incluindo informações de IP (geolocalização) e dados únicos de navegador. A Internews criou um exercício de treinamento (descrito na seção de prática abaixo) que ajudará você a se familiarizar com os rastreadores e algumas das informações que eles podem identificar.

Ferramentas e fluxo de trabalho para análise de e-mails maliciosos

Após entender os conceitos fundamentais e as ameaças em potencial, você precisa de um fluxo de trabalho e ferramentas para análise.

• O fluxo de trabalho Suspicious Phishing Email criado por Access Now fornece uma abordagem sistemática para avaliar e-mails suspeitos. Ele inclui um processo de avaliação em etapas, desde a observação inicial até a categorização e criação de relatórios de ameaças.
• VirusTotal pode ser usado para avaliar URLs e anexos quanto a existência de conteúdo malicioso conhecido. Observe que URLs e arquivos enviados podem ser acessados ​​por outros usuários e podem levar o atacante a ser alertado sobre a análise que está sendo realizada nele. Isso geralmente é um risco apenas durante campanhas muito direcionadas; em outras, os adversários geralmente assumem que alguém detectou e está analisando seus padrões de ataque.
• Confira algumas das ferramentas de análise de email listadas neste artigo. Elas podem investigar o conteúdo e os anexos de e-mails e várias delas são baseadas em linha de comando, o que ajuda analistas que estão investigando o conteúdo criado por atores sofisticados, que podem tentar criar mensagens de maneiras que exploram falhas de segurança nos programas de e-mail. O artigo também detalha algumas técnicas que os atores maliciosos usam para frustrar a análise. Este artigo, de forma similar, analisa como converter arquivos do Outlook para texto puro e analisá-los através de um bloco de notas ou linha de comando, para reduzir a superfície de ataque de emails maliciosos que exploram os bugs do Outlook.

Atividade prática

• Leia os dois estudos de caso abaixo na íntegra, observando todos os elementos novos para você, e que podem exigir prática adicional:
• Analyzing Malicious Email Files | por Josh Lemon | Medium
• Analyzing Malicious Emails. An intro to analyzing a phishing email | por Kyle Bubp | Medium
• Um projeto da Internews, com foco na segurança de jornalistas criou um exercício de simulação para ajudar as pessoas a entender melhor e praticar o trabalho com rastreadores. Leia o projeto e complete alguns dos exercícios.

Checagem de habilidades

Peça para colegas ou quem está te mentorando te enviar um e-mail. Idealmente, o e-mail conteria vários elementos, como pixels rastreadores, anexos, e links que se beneficiariam de uma análise aprofundada. Como alternativa, entre em sua própria caixa de entrada e escolha um e-mail que (esperamos que) não seja malicioso. Use as habilidades usadas neste módulo para analisá-lo:

• Você pode ler os cabeçalhos do e-mail para descobrir o endereço do remetente?
• Você pode confirmar a autenticidade do remetente? É provável que o e-mail tenha sido falsificado?
• Qual infraestrutura foi usada na entrega da mensagem?
• Qual conteúdo ativo (MIME, pixels rastreadores) está incluído no e-mail?
• Quais dados podem ser vazados se alguém abrir e interagir com o e-mail?
• O que o remetente quer que você faça ao receber o e-mail?

Discuta suas respostas para as perguntas acima com seu colega ou mentor.

Recursos de aprendizagem