Domanda Risolto Estrapolare e analizzare IoC da una email

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
0

0xbro

Super Moderatore
24 Febbraio 2017
4,465
179
3,767
1,825
Ciao a tutti!
Qualcuno di voi conosce qualche programma o tools con cui sia possibile analizzare una email (headers, IP, dominio, allegati, ecc.) in modo da determinare se si tratti di una email di phishing o meno (quindi un tool che automatizzi la ricerca ed estrazione di IoC e ne faccia un controllo con i dati online, tipo VirusTotal & co.)?

Per ora le uniche risorse che ho sembrano essere utili sono
GitHub - qeeqbox/analyzer: Offline Threat Intelligence Analyzer for extracting artifacts and IoCs from Windows, Linux, Android, iPhone, Blackberry, macOS binaries, emails and more
GitHub - MrCalv1n/EmailAnalyzer: Cybersecurity - a python3 script to parse and analyze .msg and .eml email files
GitHub - serdarhaliloglu/Phishing-Email-Analyzer: Phishing E-mail Analyzer

Grazie a chi risponderà! :D
 
Capire che si tratti di phishing e' un po' difficile, si possono adottare tecniche di blacklist o machine learning ma esistono phishing fatti male e quelli fatti bene, quello che puoi fare c'e' l'hai gia' in quei tools, puoi caricare gli allegati su virustotal, ma se ad esempio il phishing sta in un link puoi solo fare una query a google safebrowsing o simili per vedere se e' blacklistato ma non di piu' ci sono troppe variabili, basti vedere che molti riescono a passare i filtri antispam di google.
Un altro ambiente di VM malware analysis oltre a qeeqbox c'e' il piu' famoso cuckoo sempre per quanto riguarda gli allegati.
 
  • Mi piace
Reazioni: 0xbro
sisi la cuckoo sendbox già la usiamo, facciamo anche un doppio check con AnyRun. Il più era trovare un tool che automatizzasse il processo di analisi di indirizzi email, domini, IP ecc in modo che se un elemento risulta blacklistato, già sappiamo che si tratta di Spam piuttosto che Phishing ecc. mentre se non risulta nulla, si procede con l'analisi manuale
 
L'unica cosa che mi viene in mente e' fare una richiesta alle API delle blacklist piu' famose, qua c'e' una lista ovviamente ci sono bot sempre nuovi non e' la soluzione definitiva ma potrebbe alleggerire il lavoro di un analisi piu' seria, fermo restando che non fermera' attacchi mirati.
Alcuni servizi terzi per pochi euro all'anno offrono un unica API aggregata di tutti questi servizi ed hanno una sorta di cache per velocizzare.
 
  • Mi piace
Reazioni: 0xbro
Stato
Discussione chiusa ad ulteriori risposte.
Top Bottom
Indietro