- Phân tích phần mềm độc hại động: Nó liên quan đến việc thực thi phần mềm độc hại để
6. Điều tra Email (Email Forensics)
E-mail là một trong những dịch vụ phổ biến nhất được sử dụng qua internet và đã trở thành nguồn thông tin liên lạc chính cho các tổ chức và công chúng. Việc sử dụng các dịch vụ email trong các hoạt động kinh doanh như ngân hàng, nhắn tin và gửi các tệp đính kèm đã tăng lên với tốc độ chóng mặt. Phương tiện liên lạc này đã trở nên dễ bị tấn công bởi các loại tấn công khác nhau. Tin tặc có thể giả mạo tiêu đề email và gửi email ẩn danh cho các mục đích xấu của chúng. Tin tặc cũng có thể khai thác các máy chủ chuyển tiếp mở để thực hiện kỹ thuật xã hội lớn.
Email là nguồn phổ biến nhất của các cuộc tấn công lừa đảo. Để giảm thiểu các cuộc tấn công này và bắt những người chịu trách nhiệm, chúng tôi sử dụng kỹ thuật và pháp y email như thực hiện phân tích tiêu đề, điều tra máy chủ, dấu vân tay của người gửi, v.v. Pháp y email là phân tích nguồn và nội dung của email, xác định người gửi và người nhận, ngày và giờ của email
và phân tích tất cả các thực thể liên quan. Pháp y email cũng cải cách pháp y của hệ thống máy khách hoặc máy chủ bị nghi ngờ là giả mạo email.
6.1. Phân tích Email Header
Điều tra email bắt đầu với việc nghiên cứu tiêu đề email header vì nó chứa một lượng lớn thông tin về email. Phân tích này bao gồm cả nghiên cứu nội dung và tiêu đề email chứa thông tin về email đã cho. Phân tích tiêu đề email giúp xác định hầu hết các tội phạm liên quan đến email như lừa đảo trực tuyến, gửi thư rác, giả mạo email, v.v.
Giả mạo (spoofing) là một kỹ thuật sử dụng một người có thể giả làm người khác và một người dùng bình thường sẽ nghĩ trong giây lát rằng đó là bạn của mình hoặc một số người mà anh ấy đã biết. Chỉ là ai đó đang gửi email từ địa chỉ email giả mạo của bạn bè họ, và không phải tài khoản của họ bị hack.
Bằng cách phân tích tiêu đề email, người ta có thể biết liệu email mình nhận được là từ địa chỉ email giả mạo hay là địa chỉ thật. Đây là cách tiêu đề email trông như thế nào:
6.2. Điều tra máy chủ mail
Trong loại điều tra này, các bản sao của thông điệp được truyền tải và nhật ký của nhân viên được khám phá để phân biệt nguồn của email. Ngay cả khi khách hàng (người gửi hoặc người thụ hưởng) xóa tin nhắn email của họ mà không thể khôi phục được, những tin nhắn này có thể được máy chủ (Proxy hoặc Nhà cung cấp dịch vụ) ghi lại thành nhiều phần. Những proxy này lưu trữ một bản sao của tất cả các thông điệp sau khi chúng được truyền tải.
Hơn nữa, nhật ký do nhân viên lưu giữ có thể được tập trung để theo dõi vị trí của máy tính có thể trả lời được để thực hiện trao đổi email. Trong mọi trường hợp, Proxy hoặc ISP lưu trữ các bản sao của nhật ký email và máy chủ chỉ trong một khoảng thời gian và một số có thể
không hợp tác với các nhà điều tra pháp y. Hơn nữa, các nhân viên SMTP lưu trữ thông tin như số Visa và các thông tin khác liên quan đến chủ sở hữu hộp thư có thể được sử dụng để phân biệt các cá nhân đằng sau một địa chỉ email.
6.3. Điều tra các thiết bị mạng trong hệ thống Mail
Các thiết bị mạng như tường lửa, bộ định tuyến, bộ chuyển mạch, modem, v.v. chứa nhật ký có thể được sử dụng để theo dõi nguồn email. Trong loại điều tra này, các nhật ký này được sử dụng để điều tra nguồn gốc của một email.
Đây là một loại điều tra rất phức tạp và hiếm khi được sử dụng. Nó thường được sử dụng khi nhật ký của nhà cung cấp Proxy hoặc ISP không khả dụng vì một số lý do như thiếu bảo trì, lười biếng hoặc thiếu hỗ trợ từ nhà cung cấp ISP.
6.4. Điều tra các tệp đính kèm trong Mail
Trong số các loại vi-rút và phần mềm độc hại, hầu hết chúng được gửi qua kết nối email. Việc kiểm tra tệp đính kèm email là cấp thiết và quan trọng trong bất kỳ cuộc kiểm tra nào liên quan đến email. Sự cố tràn dữ liệu cá nhân là một lĩnh vực quan trọng khác cần được kiểm tra. Có những phần mềm và công cụ có thể truy cập để lấy lại thông tin liên quan đến email, ví dụ, tệp đính kèm từ ổ cứng của hệ thống máy tính.
Để kiểm tra các kết nối không rõ ràng, các nhà điều tra tải tệp đính kèm lên một hộp cát trực tuyến, chẳng hạn như VirusTotal để kiểm tra xem tài liệu có phải là phần mềm độc hại hay không. Tuy nhiên, điều quan trọng là phải quản lý ở đầu danh sách ưu tiên rằng bất kể một bản ghi có trải qua đánh giá hay không, chẳng hạn như của VirusTotal, thì đây không phải là sự đảm bảo rằng nó được bảo vệ hoàn toàn. Nếu điều này xảy ra, đó là một suy nghĩ thông minh để nghiên cứu thêm bản ghi trong một tình huống hộp cát, chẳng hạn như Cuckoo.
6.5. Các công cụ điều tra Email
EmailTrackerPro, Xtraxtor, Advik, Systools MailXaminer, Adcomplain.
6.6. Ứng dụng
Ví dụ : Điều tra Email (Email Forensics)
Giả sử rằng [email protected] đang gửi một email tới [email protected] . Các sự kiện sau đây sẽ xảy ra tuần tự khi người dùng gửi mail :
• MUA của người gửi khởi tạo kết nối tới mail server mail.exampleA.tst bằng giao thức SMTP (thường là TCP Port 25).
• Mail server mail.exampleA.tst nhận email và biết rằng domain đích cần gửi email tới là exampleB.tst. Server mail.exampleA.tst tạo ra một truy vấn đến máy chủ DNS để hỏi về thông tin record MX của domain exampleB.tst. Giả sử rằng không có thông tin về domain exampleB.tst trong bộ nhớ cache của máy chủ DNS.
• Máy chủ DNS lần lượt tạo ra một truy vấn đệ quy đối với máy chủ DNS có thẩm quyền và tìm hiểu về chi tiết các record MX của domain exampleB.tst. Thông tin này sẽ được trả về cho server mail.exampleA.tst.
• Bây giờ server mail.exampleA.tst đã có địa chỉ IP của mail server đích, nó sẽ gửi email trực tiếp tới mail server mail.exampleB.tst thông qua Internet. SMTP được sử dụng để liên lạc giữa các mail server nguồn và đích.
• Email đến được nhận bởi SMTP (MTA) cục bộ trên server
mail.exampleB.tst. Sau khi nhận được email, nó được chuyển cho MDA, sau đó gửi thư đến hộp thư của người nhận được lưu trữ trong máy chủ. Máy chủ có các hộp thư riêng biệt cho mỗi người dùng.
• Khi người nhận kiểm tra email qua giao thức POP hoặc IMAP, email được MUA lấy từ máy chủ về máy tính của user. Tùy thuộc vào cấu hình MUA, email có thể được tải xuống trong máy trạm, bản sao có thể được lưu giữ trong cả máy chủ và máy trạm, hoặc email giữa máy chủ và MUA được đồng bộ hóa, tuỳ thuộc vào bạn chọn giao thức POP hay IMAP.
Ngoài ra người ta còn có mail gate nó đứng trước mail server đảm nhận vai trò giống như là một firewall với các khả năng chống phishing , DLP(data loss prevention), và lọc mail cao cấp hơn…