Analizando mensajes de correo con emlAnalyze

¿Cónocéis emlAnalyze?

EmlAnalyze es una herramienta que permite analizar mensajes de correo. Yo la he descubierto este año en los retos del calendario de adviento de ciberseguridad de Tryhackme. Me gustan hacer estos tipos de retos porque siempre te enseñan alguna herramienta nuevas.

Tienes el proyecto en github o como módulo de python. Tiene sus añitos pero está muy bien para analizar los mensajes.

$ pip install eml-analyzer
$ emlAnalyzer -h
usage: emlAnalyzer [OPTION]... -i FILE

A cli script to analyze an E-Mail in the eml format for viewing the header, extracting attachments etc.

optional arguments:
  -h, --help            show this help message and exit
  -i INPUT, --input INPUT
                        path to the eml-file (is required)
  --header              Shows the headers
  -x, --tracking        Shows content which is reloaded from external resources in the HTML part
  -a, --attachments     Lists attachments
  --text                Shows plaintext
  --html                Shows HTML
  -s, --structure       Shows structure of the E-Mail
  -u, --url             Shows embedded links and urls in the html part
  -ea EXTRACT, --extract EXTRACT
                        Extracts the x-th attachment
  --extract-all         Extracts all attachments
  -o OUTPUT, --output OUTPUT
                        Path for the extracted attachment (default is filename in working directory)

Tiene pocas opciones pero las justas. Si recibimos un mensaje sospechoso como el de la imagen.

Lo descargamos y pasamos a analizarlo

Lo primero que podemos hacer es analizarlo sin opciones para ver una primera impresión del mensaje.

$emlAnalyzer -i mensaje.eml 

Aquí ya vemos que el mensaje, aunque indicaba que el fichero era un pdf, no lo es, se trata de una imagen y además tenemos un enlace.

Vamos a ver las cabeceras del mensaje

$emlAnalyzer -i mensaje.eml --header

El dominio de la dirección de correo de la cabecera From coincide con el dominio del servidor de correo que recibe el mensaje por lo que podemos indicar que posiblemente hayan obtenido los credenciales de esa cuenta. Sigamos analizando el mensaje. Ahora podemos ejecutar

$emlAnalyzer -i mensaje.eml -s --text --html --url --extract-all 
-i fichero de entrada a analizar
-s muestra la estructura del correo electrónico
--text muestra el texto sin formato
--html muestra en html
--url extrae los enlaces
--extract-all extrae todos los adjuntos

con las opciones indicadas es suficiente para analizar el mensaje. A la hora de extraer los adjuntos, lo dejará en el directorio eml_attachments salvo que digas que quieras cambiar la ubicación con la opción -o

En este caso tenemos una url donde a analizar. Descargamos el fichero. Podemos comprobar que el fichero esta comprimido, lo descomprimimos y tenemos como resultado el fichero ‘Prueba de pago.exe’

una cosa curiosa del fichero ejecutable es el tamaño del fichero

Este tamaño es lo suficientemente grande para que no puedan ser analizado por algunas sandbox, como JoeSandbox. Si miramos las cadenas “legibles” de ese fichero ejecutable, vemos dos cosas curiosas. Por una lado se hace referencia a un fichero ejecutable llamado withoutstartup.exe

y que el fichero termina con una cadena de ceros. Ahora sabéis el motivo por el cual no puede ser analizado por algunas sandbox, afortunadamente VirusTotal si lo hace.

Quedaros con el final del sha256sum de ese fichero

Paso el ejecutable por VirusTotal

¿os suena?

Agente Tesla

Se trata de un keylogger que envía la información al C2.

Espero que os haya gustado.