Перейти к содержанию

Пришло подозрительное письмо. Хочу сам провести анализ, но не хватает знаний.


Pechkin80

Рекомендуемые сообщения

Получил подозрительное письмо и решил попробовать его самостоятельно изучить, но анализ загаловков X-* сильно озадачил. Не могу конвертировать их.
Кодировка base64 Конвертируется в utf-8 только тело. Тело содержит Html оболочку и никаких скриптов. Вообщем тело само по себе не опасно,  но могут ли X-* заголовки в дополнии к телу быть опасными ?

 

 

import base64
f = open('/home/user/Downloads/Message16147404551440204960.eml','r+', encoding="utf-8")
print(f.read())
f.close()

 

Вручную проиннициллизирую строку base64_message частью письма, что напечатоно print(f.read())
и делаю конвертацию:

 

base64_bytes = base64_message.encode("utf-8")
message_bytes = base64.b64decode(base64_bytes)
message = message_bytes.decode("utf-8")

 

Но вот заголовки понять не могу. Особенно хотел конвертировать X-D57D3AED

X-7564579A: 78E4E2B564C1792B
X-77F55803: 119C1F4DF6A9251C6DF90EC03B5064685644D67BB9F601960DCF54ABC278 80C5ABF6EAE57C0FACE9C2A34231BB2B53F6D8DD9AD33CFD045DC8310E0C EEB11AAEBEEDD2E345AB2254
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
X-C1DE0DAB: 0D63561A33F958A57B877B836AC313532879F59CFB7E00FBFE2D2BFADCF5 28EBBDC6A1CF3F042BAD6DF99611D93F60EF31C0090ACECF247D699F904B 3F4130E343918A1A30D5E7FCCB5012B2E24CD356
X-C8649E89: 4E36BF7865823D7055A7F0CF078B5EC49A30900B95165D34A2EC12013542 0F9083708549267B1456BEFA788FAAC4154FC58651D9352E77EB07E158DD 7211CCB61D7E09C32AA3244C2FDB5D05F3DF9982444EE3782E1BE2F051E8 87DA02A9F7BFED98077840A144B9
X-D57D3AED: 3ZO7eAau8CL7WIMRKs4sN3D3tLDjz0dLbV79QFUyzQ2Ujvy7cMT6pYYqY16i ZVKkSc3dCLJ7zSJH7+u4VD18S7Vl4ZUrpaVfd2+vE6kuoey4m4VkSEu530nj 6fImhcD4MUrOEAnl0W826KZ9Q+tr5+wYjsrrSY/u8Y3PrTqANeitKFiSd6Yd7yPpbiiZ/d5BsxIjK0jGQgCHUM3Ry2Lt2G3MDkMauH3h0dBdQGj+BB/iPzQYh7XS329fgu+/vnDhaR2H16sDnW6mpgoBjFXd0Q==
X-Mailru-Sender: 1F4679C53DB0563CBC1F60D671EC559B0F0BBAAE7E847643C7F0BB44E5AB D26172EBEA168CF460951EDDB4AD946E6551B03F39422D21567EABFA9124 D980965A8D6BC15CB04E7293134AD3DBB8A01B9D551266B884A1B3DBDC42 095E7BE5DDA30D4ABDE8C577C2ED

Если заголовки X-* могут содержать опасные скрипты, то буду благодарен, если кто подскажит.

Во вложении само письмо в котором я звездочками замазал свой имейл.

 

letter.zip

Ссылка на сообщение
Поделиться на другие сайты

Эти заголовки создает mail.ru, поэтому ничего вредоносного там быть не может.

А что конкретно они значат это вопрос к ним.

Ссылка на сообщение
Поделиться на другие сайты
04.03.2021 в 19:37, andrew75 сказал:

Эти заголовки создает mail.ru, поэтому ничего вредоносного там быть не может.

А что конкретно они значат это вопрос к ним.

А как узнать что заголовок создан mail.ru, а не кем -то еще  ?

Я может много хочу, но цель в том числе знать на будущее как реагировать.

Разве заголовки не могут содержать скриптов вообще ?

Изменено пользователем Pechkin80
Ссылка на сообщение
Поделиться на другие сайты

Достаточно посмотреть заголовки любого письма, отправленного через mail.ru и вы увидите там подобный блок.

Он начинается:

Authentication-Results: smtp**.i.mail.ru; ....

И в конце стоит:

X-Mailru-Sender: ....

 

Скрипты конечно в заголовок засунуть можно. Но, насколько я понимаю, они там никак не сработают, а будут проигнорированы. 

Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, andrew75 сказал:

Достаточно посмотреть заголовки любого письма, отправленного через mail.ru и вы увидите там подобный блок.

Он начинается:

Authentication-Results: smtp**.i.mail.ru; ....

И в конце стоит:

X-Mailru-Sender: ....

 

Скрипты конечно в заголовок засунуть можно. Но, насколько я понимаю, они там никак не сработают, а будут проигнорированы. 

Я читал разное. Вроде можно в тему например засунуть скрипт. Спасибо за Ваше мнение. 

Буду рад если тут выскажется ктото из группы консультанты.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Rinn
      От Rinn
      Добрый день, задача такая - "необходимо собрать статистику по службам SCCM" для этого был написан скрипт на python и скомпилирован в exe, скрипт собирает состояние служб и создаёт файл с %pcname%.txt и копирует его на сетевой диск. Проблема в том, что через KSC скрипт не отрабатывает и файлы(логи) на сетевом диске не появляются, если запускать на прямую то всё как надо. Подскажите куда смотреть?
    • dkhilobok
      От dkhilobok
      Го бодрствовать в нашу параллельную реальность — виртуальный офис «‎Лаборатории Касперского» ?
      В нём есть всё то же, что есть у нас на самом деле. И лифт, и буфет, и задачки для знатоков C++, Python, JavaScript.
      Что уж там, даже Евгений Касперский в нём есть ?

      В квесте вопросы разных уровней, и все — интересные! ⠀
      В общем, вам сюда! Мы создали
       
      kaspersky (1).mp4
×
×
  • Создать...