ForensicsAssistant 系列工具正在以三天打鱼两晒网的速度快速推进
该系列近期推出批量Eml文件处理工具 EA 全称叫 EmailAssistant,是 Eml 文件分析处理工具
常规邮件投毒大概分为几种
- 钓鱼链接
- 恶意附件
- 针对客户端(收邮件解析错误)
当面对大量邮件分析工作,一方面可以求助于公司产品,将邮件全部过滤一遍,另一方面就需要自己手动分析
钓鱼链接
分析邮件过程中首先针对钓鱼链接,常见钓鱼链接,一般如下
- 伪造文件下载页面,需要用户登陆进行收文件
- 伪造自己提供服务,例如开发票等服务,要求用户通过部分网站联系自己
- 宣称用户中奖,要求用户在指定页面填写相关个人信息,并缴纳保证金,进行诈骗
针对此类恶意用户,首先需要对用户钓鱼链接进行提取,提取后可根据参数(钓鱼链接一般会标记被钓鱼用户邮件),或网站排名,排除受信任网站,对排名较低网站进行分析
恶意附件
针对恶意附件的问题,首先就是,部分邮件在发送的时候就会使用高风险后缀,例如 exe、scr 类可执行文件,或是通过加密码,打包压缩,通过常规压缩格式 7z、rar、zip等方式进行传输的可执行文件,常规分析方式如下
- 直接通过杀毒软件离线扫描(需断网,需杀毒软件支持解
eml文件) - 批量提取高风险后缀附件进行手动分析
- 提取全部附件,通过多款杀毒软件进行离线扫描(部分杀毒软件不支持解eml文件,例如卡巴)
- 纯肝,一封一封看,适合少量邮件
总结
针对上述常规邮件分析方式,c0cc 对FA系列应急响应工具进行扩充,新增加了 EA 邮件助手,解决了Eml文件解析问题,错误率较低,目前邮件解析失误率为千分之二,属于可接受范围,目前还在优化。
同时优化了部分邮件来源比较有特征 例如 邮件ID\收件箱名称\邮件文件 格式目录结构,文件提取模式可指定同步路径深度dept参数,会同步上层目录结构
使用说明
软件通过命令行运行,帮助信息如下
C:\Users\admin\Desktop>EA_win_x64.exe -h
_______ _______
( ____ \( ___ )
| ( \/| ( ) |
| (__ | (___) |
| __) | ___ |
| ( | ( ) |
| ) | ) ( |
|/ |/ \|
FA取证助手套件 - EA 邮件助手
Ver:0.04 Beta build:20221126
by:minisys
NAME:
EmailAssistant 邮件助手 - EA 邮件助手,支持对eml附件导出与eml正文匹配,以及对eml生成列表
USAGE:
EA_win_x64.exe [global options] command [command options] [arguments...]
COMMANDS:
match 匹配eml邮件正文中的链接地址
dump 提取eml邮件中附件
table 生成目标目录中eml文件基础信息列表
help, h Shows a list of commands or help for one command
GLOBAL OPTIONS:
--help, -h show help
帮助信息存在二级菜单
C:\Users\admin\Desktop>EA_win_x64.exe dump -h
_______ _______
( ____ \( ___ )
| ( \/| ( ) |
| (__ | (___) |
| __) | ___ |
| ( | ( ) |
| ) | ) ( |
|/ |/ \|
FA取证助手套件 - EA 邮件助手
Ver:0.04 Beta build:20221126
by:minisys
NAME:
EA_win_x64.exe dump - 提取eml邮件中附件
USAGE:
EA_win_x64.exe dump [command options] [arguments...]
DESCRIPTION:
提取eml邮件中附件
OPTIONS:
--src value, -s value 输入目录
--out value, -o value 输出目录
--error value, --err value 错误日志输出
--ext value, -e value 匹配提取邮件后缀,例如"xlsx,exe,csv"
--dept value, -d value 设置提取附件连带创建目录层级 (default: 1)
该工具近期将会放出下载地址
补一张运行截图,可以看到,指定dept(d)参数后,服务器自动创建3层目录,用于存储被提取文件,防止出现提取文件与邮件对应不上的问题
补图失败