Aqui damos 3 ejemplos de tool que podemos usar porque siempre es bueno que tener varios tools por si uno nos falla.
Es un tool hecho por Google que nos ayuda analizar emails. https://toolbox.googleapps.com/apps/messageheader/analyzeheader
Otro tool que hace los mismo que Messageheader(de google) https://mha.azurewebsites.net/
Otro tool similar a los anteriores https://mailheader.org/
Las herramientas en continuacion nos ayudan a analizar sobre los Sender's IP address:
EL primer tool que vamos a ver es https://ipinfo.io/ quote de la pagian
"With IPinfo, you can pinpoint your users’ locations, customize their experiences, prevent fraud, ensure compliance, and so much more".
quote del site:
"urlscan.io is a free service to scan and analyse websites. When a URL is submitted to urlscan.io, an automated process will browse to the URL like a regular user and record the activity that this page navigation creates. This includes the domains and IPs contacted, the resources (JavaScript, CSS, etc) requested from those domains, as well as additional information about the page itself. urlscan.io will take a screenshot of the page, record the DOM content, JavaScript global variables, cookies created by the page, and a myriad of other observations. If the site is targeting the users one of the more than 400 brands tracked by urlscan.io, it will be highlighted as potentially malicious in the scan results".
Link del Website: https://www.url2png.com/
NOs permite ver el websiate sin infectarnos https://www.wannabrowser.net/
Talos es una pagina de cisco que nos ayuda identificar si otros usuarios reportaron la pagina como maligna https://talosintelligence.com/reputation
Igual que Talos pero esta es la pagina mas usada para reputacion https://www.virustotal.com/gui/home/upload
Los links los podemos extraer manualmente directamente del formato HTML como este ejemplo:
Tambien podemos hacer lo mismo con este tool que nos puede ayudar https://www.convertcsv.com/url-extractor.htm
Podemos copiar el raw header en el text box como el Paso 1 y Paso 2
Paso 3
Tambien podemos usar https://gchq.github.io/CyberChef/
es importante que tomemos en cuenta el root domain del website de done extraemos los links
Si el email tiene un attachment podemos obtener el hash. Para chequiar la reputacion del file en Talos o VirusTotal
user@machine$ sha256sum Double\ Jackpot\ Slots\ Las\ Vegas.dot
c650f397a9193db6a2e1a273577d8d84c5668d03c06ba99b17e4f6617af4ee83 Double Jackpot Slots Las Vegas.dot
Despues que tengamos el hash podemos verificarlo en VirusTotal para ver su reputacion Aqui en el screenshot un ejemplo del mismo:
Por suerte como defensores no necesitamos tener habilidades de analisis de malware. Hay website que nos ayudan a analizar los malware y decirnos que es lo que hacen. Como ejemplo podemos cojer un attachment que hay en los emails que parece malicioso con estos site
"Analyze a network, file, module, and the registry activity. Interact with the OS directly from a browser. See the feedback from your actions immediately".
https://www.hybrid-analysis.com/
"This is a free malware analysis service for the community that detects and analyzes unknown threats using a unique Hybrid Analysis technology."
"Joe Sandbox empowers analysts with a large spectrum of product features. Among them: Live Interaction, URL Analysis & AI based Phishing Detection, Yara and Sigma rules support, MITRE ATT&CK matrix, AI based malware detection, Mail Monitor, Threat Hunting & Intelligence, Automated User Behavior, Dynamic VBA/JS/JAR instrumentation, Execution Graphs, Localized Internet Anonymization and many more".