Este contenido inicialmente es de caracter personal y de estudio constantey recurrente, adicional quiero compartir con fines informativos y de aprendizaje para otros profesionales. Es de aclarar que, los ejemplos y escenarios presentados son hipotéticos, así mismo, las plataformas utilizadas son públicas en donde pueden reflejar situaciones reales de las compñaías, estás plataformas publican laboratorias con diferentes escenarios. Las tecnologías al igual que las herramientas mencionadas están sujetas a cambios constantes.
Rol: Security Analyst
Dificultad: Beginner
Escenario: Análisis de un correo electrónico (identifcación)
-
Retorno del correo electrónico (Return-Path): Hace parte del encabezado del mensaje, indica la dirección de correo electrónico a la que se deben enviar los mensajes de error de la entrega. Es importante ya que, ayuda a identificar el origen real del mensaje.
- Abrimos el archivo (paypal.eml) con el editor de texto Notepad ++. Ahí logramos ubicar la cabecera "Return-Path" para identificar el correo real de retorno.
bounce@rjttznyzjjzydnillquh.designclub.uk.com
- Cabe resaltar que los correo electrónicos al momento de exportarlos por defecto es HTML, este escenario plantea que debemos identificar las diferentes etiquetas HTML y su contenido. Por lo tanto, ubicamos el cuerpo del correo (body), y dentro del cuerpo del mensaje del correo electrónico identificar las URLs.
storage.googleapis.com
- Ya con el dominio identificado, lo enviamos a los motores públicos para su análisis (Hynrid Analisys, VirusTotal)
Yes
- Dentro de los detalles de la consulta en VirusTotal, ubicamos el valor hash que corresponde al cuerpo del correo.
ae71057b738935cb60b60ea62778cdaee35b08534597fb136cbc3feffeff4c22
Yes
-
Notepad++ (https://notepad-plus-plus.org/downloads/)
-
VirusTotal (https://www.virustotal.com/)
-
Hybrid Analisys (https://www.hybrid-analysis.com/)