Security Toolbox Forensics & Analysis Resources 24 - itnett/FTD02H-N GitHub Wiki

🛠️ Trinnvis veiledning for trygg analyse av URL-er, vedlegg, e-post, filer og SMS

Når du jobber med potensielt skadelige URL-er, e-poster, vedlegg og SMS-er, er det viktig å undersøke dem på en trygg måte uten å sette deg selv eller nettverket i fare. Her er en trinnvis prosess, inkludert hvilke verktøy du kan bruke, hvordan du bruker dem, og hva du oppnår i hver fase.

1. Innhenting og innledende analyse av e-post og vedlegg

Før du begynner å åpne noe, må du samle inn informasjon om e-posten og vedleggene, og undersøke dem for mistenkelige aktiviteter.

Verktøyvalg:

  • MXToolbox: Brukes til å analysere e-posthoder, sjekke avsenders identitet og vurdere risikoen for spoofing.

    • Hvorfor: Henter detaljert informasjon om e-posten uten å åpne den. Dette lar deg avdekke forfalskninger (f.eks. gjennom SPF, DKIM og DMARC-validering).
    • Hva du oppnår: Du kan identifisere om e-posten er legitim eller potensielt ondsinnet.
    • MXToolbox

  • PhishTool: Nettbasert verktøy for analyse av phishing-e-poster og vedlegg.

    • Hvorfor: Kan analysere e-postinnhold, vedlegg, og lenker uten å faktisk åpne dem. Den sjekker e-post for kjente phishing-indikatorer.
    • Hva du oppnår: Fullstendig oversikt over e-posten og risikoanalyse uten å utsette deg for risiko.
    • PhishTool

Handling:

  1. Analyser e-posthoder med MXToolbox for å sjekke om avsenderens domene og IP-adresse er i samsvar med SPF, DKIM eller DMARC-poster.
  2. Bruk PhishTool til å laste opp e-posten, slik at du kan inspisere innebygde lenker og vedlegg.

Neste trinn: Etter å ha vurdert e-posten, er det tid for å se nærmere på vedleggene uten å åpne dem.

2. Sikker analyse av vedlegg

Vedlegg kan ofte inneholde skadelig programvare. Det er viktig å analysere disse på en trygg måte uten å åpne dem på din egen maskin.

Verktøyvalg:

  • VirusTotal: Sjekker vedlegg mot en database med flere antivirusmotorer.

    • Hvorfor: Lar deg laste opp og sjekke filer mot mange antivirusprogrammer uten å åpne filen.
    • Hva du oppnår: En rask sjekk om filen er kjent som skadelig.
    • VirusTotal

  • Hybrid Analysis: Kjør vedlegg i en sandkasse for å observere hva filen gjør.

    • Hvorfor: Utfører dynamisk analyse ved å kjøre filen i et virtuelt miljø for å simulere effekten av å åpne vedlegget.
    • Hva du oppnår: Full detaljert rapport over filens aktiviteter, som tilkoblinger, prosesshandlinger og nettverkstrafikk.
    • Hybrid Analysis

  • PDF Examiner eller peepdf (for PDF-filer): Analyser PDF-filer for skjulte eller ondsinnede elementer.

    • Hvorfor: Undersøker PDF-filer for innebygde skript eller skadelig innhold.
    • Hva du oppnår: Avdekking av skjulte skadelige skript i PDF-er.
    • peepdf

Handling:

  1. Last opp vedleggene til VirusTotal for en første sjekk. Hvis filen er flagget som skadelig, kan du unngå å gå videre.
  2. Bruk Hybrid Analysis til å kjøre vedlegget i et sandkassemiljø og se hva det gjør når det åpnes.
  3. Analyser PDF-filer med peepdf for å inspisere skjulte skript.

Neste trinn: Hvis det er innebygde lenker i vedleggene eller e-posten, må disse kontrolleres uten å faktisk besøke nettstedet.

3. Sikker analyse av URL-er

URL-er kan omdirigere deg til skadelige nettsteder, phishing-sider eller nedlastninger. Ved å bruke følgende verktøy kan du analysere dem uten å besøke nettstedene selv.

Verktøyvalg:

  • urlscan.io: Skanner URL-er uten å besøke nettstedet, og gir et skjermbilde av innholdet.

    • Hvorfor: Kan se innholdet på URL-en, samt HTTP-forespørsler og nettverksanrop uten risiko.
    • Hva du oppnår: En oversikt over nettstedets innhold, lenker og andre relasjoner, uten å eksponere deg selv.
    • urlscan.io

  • VirusTotal (for URL-er): Skanner URL-er mot flere antivirusmotorer.

    • Hvorfor: Sjekker om URL-en er flagget som ondsinnet av flere sikkerhetsleverandører.
    • Hva du oppnår: Informasjon om URL-en er kjent for å være ondsinnet eller brukes til phishing.
    • VirusTotal

  • URLHaus: Cross-referanser URL-er mot en database med kjente ondsinnede lenker.

    • Hvorfor: Lar deg finne om URL-en er rapportert som en malware-hosting eller phishing-side.
    • Hva du oppnår: Bekreftelse på om URL-en er blitt brukt i tidligere angrep.
    • URLHaus

Handling:

  1. Skann URL-en med VirusTotal for å se om den er flagget som farlig.
  2. Bruk urlscan.io for å få et visuelt bilde av nettstedet, dets tilkoblinger, og se HTTP-forespørsler.
  3. Sjekk URL-en med URLHaus for å se om den er rapportert som malware-hosting.

Neste trinn: Hvis nettstedet ikke umiddelbart er flagget som skadelig, kan du undersøke om nettstedet nylig har endret seg eller blitt kompromittert.

4. Undersøke historikken til nettstedet

For å se om et nettsted tidligere har vært trygt, men nylig har blitt kompromittert eller brukt i skadelige kampanjer, kan du undersøke historikken.

Verktøyvalg:

  • Wayback Machine: Lar deg se tidligere versjoner av et nettsted.

    • Hvorfor: Kan hjelpe deg med å finne ut om et nettsted tidligere var legitimt, men nylig ble kompromittert.
    • Hva du oppnår: Ser om nettstedet nylig har blitt endret for å lenke til ondsinnet innhold.
    • Wayback Machine

  • Netcraft: Gir deg informasjon om hostinghistorikk og domenets tidligere aktivitet.

    • Hvorfor: Brukes for å undersøke domenets historie, tidligere phishing-aktivitet og nåværende status.
    • Hva du oppnår: Full historisk informasjon om nettstedet, inkludert om det tidligere har blitt flagget som ondsinnet.
    • Netcraft

Handling:

  1. Sjekk nettstedets historikk på Wayback Machine. Se hvordan nettstedet så ut tidligere, og om det har blitt nylig endret til å inneholde ondsinnet kode.
  2. Bruk Netcraft for å sjekke om nettstedet har en historie med å bli flagget for phishing eller ondsinnet aktivitet.

5. Sikker analyse av korte URL-er og SMS-lenker

Korte URL-er kan skjule farlige nettsteder. Før du åpner en kort lenke, bør du undersøke den.

Verktøyvalg:

  • CheckShortURL: Utvider korte URL-er og viser deg den faktiske destinasjonen.
    • Hvorfor: Lar deg se den fulle URL-en bak en forkortet lenke uten å klikke på den.
    • Hva du oppnår: Avdekking av om korte URL-er peker til ondsinnede eller utrygge nettsteder.
    • CheckShortURL

Verktøyvalg (fortsatt):

  • VirusTotal (for SMS-lenker): Brukes til å sjekke lenker sendt via SMS mot antivirusdatabaser.

    • Hvorfor: Forsikrer deg om at SMS-lenken ikke peker til et skadelig nettsted.
    • Hva du oppnår: Bekreftelse på om lenken er trygg å besøke eller om den er rapportert som skadelig av flere antivirusmotorer.
    • VirusTotal

  • Unshorten.It: Utvider forkortede URL-er for å avsløre hele lenken og gi informasjon om nettstedet den peker til.

    • Hvorfor: Utvider korte lenker og viser den underliggende URL-en, slik at du kan kontrollere den uten å klikke på den.
    • Hva du oppnår: En trygg måte å avdekke og undersøke korte URL-er.
    • Unshorten.It

Handling:

  1. Bruk CheckShortURL eller Unshorten.It for å utvide korte URL-er før du åpner dem. Dette viser deg den faktiske destinasjonen bak URL-en.
  2. Analyser den fullstendige URL-en med VirusTotal for å kontrollere om den er flagget som ondsinnet.
  3. Bruk Hybrid Analysis eller urlscan.io for å undersøke den utvidede URL-en uten å besøke nettstedet direkte.

6. Sikker analyse av SMS-lenker

SMS-lenker kan ofte være målrettet mot mobile enheter. For å unngå risiko bør de også analyseres før de åpnes.

Verktøyvalg:

  • PhishTool: Kan brukes til å analysere SMS-lenker på samme måte som e-post-lenker.

    • Hvorfor: Kan kontrollere om SMS-lenker er phishing-forsøk eller knyttet til ondsinnede domener.
    • Hva du oppnår: Analyse av SMS-lenker uten å eksponere deg for potensielle trusler.
    • PhishTool

  • URLHaus (for SMS-lenker): Søk etter om SMS-lenken er rapportert som ondsinnet og distribuert via phishing-kampanjer.

    • Hvorfor: Kontroller om SMS-lenken har blitt brukt i kjente phishing- eller malware-kampanjer.
    • Hva du oppnår: Du kan avdekke kjente ondsinnede lenker uten å åpne dem på enheten din.
    • URLHaus

Handling:

  1. Bruk VirusTotal eller URLHaus for å sjekke SMS-lenker for skadelig aktivitet.
  2. Skann lenkene med PhishTool for å sikre at lenkene ikke er phishing-forsøk.
  3. Hvis lenken er mistenkelig, kan du bruke urlscan.io til å inspisere innholdet i lenken uten å åpne den på mobilen.

7. Undersøkelse av tidligere kompromitterte nettsteder

Hvis du har mistanke om at et nettsted nylig har blitt kompromittert, er det viktig å sjekke nettstedets historikk for å se når det ble endret.

Verktøyvalg:

  • Wayback Machine: Lar deg se hvordan nettstedet har sett ut tidligere og om det har blitt endret nylig.

    • Hvorfor: For å sjekke om nettstedet tidligere var legitimt, men nylig ble brukt til skadelige formål.
    • Hva du oppnår: Du kan oppdage om et nettsted har blitt kompromittert i det siste og om ondsinnet innhold er nylig lagt til.
    • Wayback Machine

  • Netcraft: Gir en historisk oversikt over domenet, inkludert sikkerhets- og hostinghistorikk.

    • Hvorfor: Brukes til å avdekke tidligere phishing-aktivitet og endringer i domenet.
    • Hva du oppnår: Bekreftelse på om domenet har vært brukt til skadelige formål tidligere.
    • Netcraft

Handling:

  1. Søk etter tidligere versjoner av nettstedet i Wayback Machine for å se hvordan nettstedet har sett ut tidligere. Dette kan avsløre om siden har blitt nylig endret for å legge til skadelig innhold.
  2. Bruk Netcraft for å få en historisk oversikt over sikkerhetsrelaterte hendelser knyttet til domenet.
  3. Hvis du finner nylige endringer, undersøk om det er knyttet til kjente trusler eller kompromitterte sider.

8. Oppsummering: Trygg analyse av trusler i e-poster, vedlegg og lenker

Ved å bruke de verktøyene som er beskrevet over, kan du på en trygg måte:

  1. Innhente og analysere e-post og vedlegg uten å åpne potensielt farlig innhold.
  2. Sjekke URL-er for phishing, malware, eller kompromitterte nettsteder uten å besøke dem direkte.
  3. Undersøke korte URL-er og SMS-lenker ved å utvide dem og analysere dem uten risiko.
  4. Bruke historiske verktøy som Wayback Machine for å se tidligere versjoner av nettsteder og avdekke kompromitteringer.

Oppnådd sikkerhet og fordeler:

  • Fullstendig analyse uten eksponering: Du kan undersøke vedlegg, e-post, og URL-er uten å faktisk åpne dem, noe som gir fullstendig beskyttelse.
  • Automatisert deteksjon: Verktøy som VirusTotal, Hybrid Analysis, og urlscan.io hjelper deg med å identifisere ondsinnet aktivitet raskt og effektivt.
  • Historisk innsikt: Ved å bruke Wayback Machine og Netcraft kan du se om legitime sider har blitt nylig kompromittert, noe som gir ytterligere beskyttelse.

Ved å følge disse trinnene kan du sikre at du undersøker mistenkelige filer, lenker og e-poster uten å utsette deg selv eller nettverket ditt for risiko.