ANÁLISE FORENSE EM CABEÇALHOS DE E-MAILS.

FONTE: Lígia Soares

Os cabeçalhos de e-mail contêm informações vitais do caminho que a mensagem percorreu antes de chegar ao seu destino final. Essas informações incluem nomes de destinatários e remetentes, hora do envio/recebimento de mensagem, cliente, provedor de serviços de Internet (ISP), endereço IP do remetente etc. Essas informações e outros campos de cabeçalho de e-mail podem ajudar a determinar a legitimidade de um e-mail suspeito ou malicioso. Para investigar casos relacionados a crimes cibernéticos, analistas forenses digitais examinam os e-mails relevantes em busca de evidências. Como os golpistas/atacantes frequentemente forjam mensagens para evitar a detecção, os analistas forenses de e-mail precisam analisar os campos do cabeçalho do e-mail para extrair e coletar evidências cruciais.

Para entender os campos do cabeçalho do e-mail, vamos analisar o exemplo do cabeçalho de uma mensagem de um remetente no Gmail.

1- Entregue a:

Delivered-To: paul.friedman@gmail.com

Este campo de cabeçalho contém o endereço de e-mail do destinatário pretendido. Se o endereço de e-mail nesse campo não for igual ao endereço de e-mail real do destinatário, pode ser um sinal de violação da mensagem que justifique uma investigação. Vale a pena notar que a adulteração e falsificação de cabeçalhos de e-mail é bastante fácil para os cibercriminosos atualmente, tudo o que eles precisam é de um servidor SMTP e um software de correspondência para iniciar um ataque de phishing.

2. Recebido por:

Received: by 10.12.174.216 with SMTP id n34csp2326299qvd;
Wed, 1 Feb 2017 00:39:09 -0800 (PST)

Este campo contém os detalhes do último servidor SMTP visitado do e-mail. As seguintes informações são divulgadas:

a) Endereço IP do servidor

b) ID SMTP do servidor visitado

c) Dados e horário em que o e-mail foi recebido pelo servidor SMTP

3. X-Recebido:

X-Received: by 10.28.27.14 with SMTP id b14mr1702258wmb.82.1485938349292; Qua, 01 Fev 2017 00:39:09 -0800 (PST)

Alguns parâmetros de e-mail não são definidos nos padrões oficiais de protocolo da internet e são chamados de cabeçalhos fora do padrão. Eles são criados por agentes de transferência de e-mail, como o servidor SMTP do Google Mail, que pode usar o campo X-Received para compartilhar informações não padrão. O campo compartilha os seguintes detalhes:

a) Endereço IP dos servidores de recebimento de mensagens

b) ID SMTP do servidor

c) Dados e horário em que o e-mail foi recebido

4. Caminho de Retorno:

Return-Path:reply@activetrail.com

Este campo contém o endereço de e-mail para o qual a mensagem é retornada, caso ela não atinja o destinatário pretendido. Isso pode acontecer facilmente se o remetente tiver usado um endereço de e-mail errado para o destinatário.

5. Recebido de:

Received: from i2.a01.ms18.atmailsvr.net (i2.a01.ms18.atmailsvr.net. [91.199.29.18])by mx.google.com with ESMTPS 
id 5si23398790wrr.176.2017.02.01.00.39.08
for (paul.friedman@gmail.com)
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Wed, 01 Feb 2017 00:39:09 -0800 (PST)

Este campo contém as informações do primeiro servidor SMTP ao qual o e-mail chegou. Os seguintes detalhes podem ser encontrados aqui:

a) Endereço IP relacionado ao servidor

b) Endereço de e-mail do destinatário

c) Informações de criptografia

d) Dados e hora em que a mensagem foi recebida

Received From é um dos campos mais importantes em um cabeçalho de e-mail, pois você pode encontrar o endereço IP do remetente, além de outros detalhes, como o nome do host.

6. SPF Recebido:

Received-SPF: passe (google.com: domínio de reply@activetrail.com designa 91.199.29.18 como remetente permitido) client-ip = 91.199.29.18;

O Sender Policy Framework (SPF) é um protocolo de segurança de e-mail usado para verificar o remetente. O sistema encaminha a mensagem somente depois que a identidade do remetente é autenticada. A técnica usa o endereço de domínio para autenticação e adiciona o status de verificação no campo do cabeçalho. Os seguintes códigos são usados:

a) Pass: a fonte de e-mail é válida

b) Softfail: fonte falsa possível

c) Fail: a fonte é inválida

d) Neutral: validade da fonte difícil de determinar

e) None: registro SPF não encontrado

f) Unknown: a verificação do SPF não pode ser executada

g) Error: um erro que ocorre durante a verificação do SPF

7. Resultados da autenticação:

Authentication-Results: mx.google.com;
dkim=pass @activetrail.com">header.i=@activetrail.com;
spf=pass (google.com: domain of reply@activetrail.com designates 91.199.29.18 as permitted sender) smtp.mailfrom=reply@activetrail.com;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=gingersoftware.com

Os Agentes de Transferência de Correio (MTAs) aplicam várias técnicas de autenticação nas mensagens de e-mail antes de processá-las. Os resultados dessas técnicas são adicionados ao campo de cabeçalho das mensagens e separados por ponto e vírgula.

O campo Authentication Results é de grande importância na investigação de e-mail, pois compartilha o ID do servidor que executa a autenticação. Ele também compartilha as técnicas de autenticação junto com seus resultados.

8. Assinatura DKIM:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; q=dns/txt; d=activetrail.com; s=at; h=X-BBounce:X-IADB-URL:Sender:Submitter:X-Feedback-ID:From:To:Date:Subject:MIME-Version:Content-type:Content-Transfer-Encoding; bh=GytDyTyaDleCfGk0d7bL4F2bXbTuWsb/xtpIVyVaCRw=; b=sgh6nUFjt5FC7rBC2BwXFulNuG+k14R7bBsstb4erjtZfTn4z/NPHNhVb4Ax1yXoOgX+ Il6n5SCcXTCkwQdmaxpxt/BzPjWVziBdzU1WichHhPabVFeKctyp6pCjv4+d2FVIiEuxqi v5dBTcJjXBVpOwU0mqgRceh3pqcvd5Rj4=

O campo de cabeçalho da assinatura DKIM é inserido em uma mensagem de e-mail para compartilhar detalhes do remetente, da mensagem e da chave pública necessária para executar a autenticação da mensagem. Muitas plataformas de e-mail, como o Gmail e o Outlook oferecem suporte a este campo para confirmar a autenticidade do e-mail.

Abaixo listo alguns atributos DKIM e seus significados:

  • v : versão do aplicativo. Somente a versão 1 existe hoje, portanto esse campo deve sempre ser definido como 1.
  • a : algoritmos usados ​​para criptografia. Deve ser rsa-sha256 na maioria dos casos. Alguns remetentes podem usar rsa-sha1, mas isso não é recomendado devido a riscos de segurança.
  • c : algoritmos usados ​​para canonização
  • s : nome do registro do seletor usado com o domínio
  • h : campos de cabeçalho assinado que são usados ​​no algoritmo de assinatura para criar o hash na tag b =
  • bh : hash do corpo da mensagem
  • b : dados de hash dos cabeçalhos listados na tag h =. Também é chamado de assinatura DKIM
  • d : domínio usado com o registro seletor

Nota : Todas as tags acima são necessárias para o mecanismo DKIM funcionar. Se alguma tag estiver faltando, a verificação poderá encontrar um erro. Embora existam outras tags opcionais que podem ou não ser usadas como t = (que é o carimbo de data / hora do DKIM) c= (que é o algoritmo de canonização usado).

Outros cabeçalhos importantes de e-mail:

X-BBounce: 227254537|1486804|paul.friedman@gmail.com|47|0|3605|4
X-IADB-URL: http://www.isipp.com/iadb.php
Sender: Ginger
Submitter: reply@activetrail.com
X-Feedback-ID: 3605:3605.1346802.0:G1:atgfbl
List-Unsubscribe: ,
Reply-To: Newsletter@gingersoftware.com
From: Ginger
To: "paul.friedman@gmail.com"
Message-ID: (c000e5f41f8f4137a30cab4g6eddcd1e@gingersoftware.com)
Date: Wed, 01 Feb 2017 10:39:06 +0200
Subject: Thank you for registering with Ginger!
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=" - - 7308DF8A8DBB43098928C652849D6409"
- - - 7308DF8A8DBB43098928C902849D6409
Content-type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable

Significado dos parâmetros do cabeçalho do e-mail

Analisando os parâmetros principais em um cabeçalho de e-mail, você pode ter uma ideia de como a mensagem “viajou” (digamos assim) da origem ao destino. Por exemplo, você pode usar o IP de origem para encontrar o remetente original. Para isso, é necessário examinar o primeiro parâmetro Recebido no cabeçalho do email. O primeiro endereço IP aqui é o IP de origem, que também é apresentado às vezes nos campos X-Originating-IP ou Original-IP. Emprestando o mesmo exemplo de cabeçalho:

a) Reply-to: O endereço de e-mail no qual a resposta à mensagem é recebida. Geralmente, é o endereço de e-mail do remetente, mas também pode ser alterado manualmente.

b) From: endereço de e-mail do remetente.

c) To: Endereço de e-mail do destinatário.

d) Message-ID: ID exclusivo do email que o torna distinguível. Dois emails não podem compartilhar o mesmo ID de mensagem.

e) Date: data e hora em que o email foi recebido no destino.

f) Subject: seção de assunto do e-mail que contém o objetivo principal da mensagem.

g) MIME-Version: mostra que a mensagem está no formato MIME (Multipurpose Internet Mail Extension) e pode suportar formatos como arquivos de texto sem formatação, vídeo, áudio etc.

Significado dos parâmetros do cabeçalho do e-mail:

Analisando os parâmetros principais em um cabeçalho de email, você pode ter uma idéia de como a mensagem viajou da origem ao destino. Por exemplo, você pode usar o IP de origem para encontrar o remetente original. Para isso, é necessário examinar o primeiro parâmetro Recebido no cabeçalho do email. O primeiro endereço IP aqui é o IP de origem, que também é apresentado às vezes nos campos X-Originating-IP ou Original-IP. Emprestando o mesmo exemplo de cabeçalho:

Received: by 10.12.174.216 with SMTP id n34csp2326299qvd;
Wed, 1 Feb 2017 00:39:09 -0800 (PST)

A parte destacada é o remetente original da mensagem. Você pode usar um serviço de reputação gratuito como o Talos da Cisco para obter a classificação de reputação do IP. Isso pode ajudar a verificar se o e-mail é um spam ou um ataque de phishing. Embora, lembre-se de que, se o endereço IP for privado, ele não poderá obter nenhum resultado.

O ID da mensagem é outro campo importante que pode ser verificado quanto à falsificação. Você pode vê-lo abaixo onde destaquei:

Reply-To: Newsletter@gingersoftware.com
From: Ginger
To: "paul.friedman@gmail.com"
Message-ID: (c000e5f41f8f4137a30cab4g6eddcd1e@gingersoftware.com)
Date: Wed, 01 Feb 2017 10:39:06 +0200
Subject: Thank you for registering with Ginger!
MIME-Version: 1.0

Como o ID da mensagem é adicionado pelo servidor de e-mail que processa o e-mail, ele não pode ser alterado com tanta facilidade. Além disso, os sistemas de mensagens geralmente usam um carimbo de data /hora junto com o nome de domínio do remetente. Portanto, se o nome do domínio no ID da mensagem não corresponder ao nome do domínio mencionado no campo De:, poderá sugerir uma possibilidade de falsificação. No exemplo acima, o campo De: mostra o nome de domínio gingersoftware.com que é igual ao ID da mensagem. Portanto, é seguro assumir que nenhuma falsificação ocorreu aqui.

Algumas dicas para ajudar na análise de outros casos:

  • Existe alguma imagem? A primeira coisa que geralmente faço é lançar o link no VirusTotal, URLquery e Hybrid-Analysis. Antes, esses sites não apresentavam problemas para analisar um site malicioso, atualmente, os autores de malware e os golpistas/spammers parecem ter ficado um pouco mais ligeiros. Os autores estão bloqueando sequências específicas de agentes do usuário e endereços IP de origem. Isso pode dificultar as vezes o uso de ferramentas de análise baseadas na nuvem.
  • Certificado SSL: é importante analisar o https, em alguns casos esses golpistas podem estar usando um certificado Let’s Encrypt, mas você pode verificar na ferramenta SSL Labs da Qualys para ajudar na análise.
  • Você pode tentar “interagir” com o atacante: eu tomo alguns cuidados quanto à isso, geralmente uso uma máquina virtual e VPN. Em algumas situações da para usar o wget (nem sempre funciona sem modificar o user agent) e também temos que levar em consideração que isso funcionaria se o golpista for do tipo “preguiçoso”. Pode acontecer de aparecer um decodeURI, o que basicamente você faria depois seria a decodificação e entendimento do código, em alguns casos pode estar muito explícito em PHP por exemplo, uma captura de e-mail e senha do usuário em um formulário.

Conclusão:

Em primeiro momento, os cabeçalhos de e-mail podem parecer confusos e esmagadores. Depois de começar a entender os campos nos cabeçalhos e o que eles podem revelar sobre a mensagem, você encontrará informações muito úteis enterradas nas aparentemente intermináveis ​​linhas de texto. O próximo passo será determinar o que você pode fazer com as evidências encontradas (com cuidado risos).

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s