NetworkMinerで簡単!メール添付ファイル解析

セキュリティ
Gerd AltmannによるPixabayからの画像

※この記事にはプロモーションが含まれています。

今回は、パケット解析ツールNetworkMinerを使って、パケットキャプチャデータから簡単にメール添付ファイルを取得できることを紹介します。

スポンサーリンク
スポンサーリンク

準備

Windows 10上でNetworkMiner 2.6を実行します。NetworkMinerは、このHP上からfree editionをダウンロードします。

解析対象となるデータは、WireSharkでSMTP通信したものをキャプチャーしました。メールサーバーがない場合は、Dockerでメールサーバー!5分で構築で構築方法を紹介しているので、参考にしてみてください。

NetworkMinerは拡張子pcapに対応しているので、pcapng形式ではなく、pcap形式でファイルを保存します。

Wiresharkでのメール添付ファイル解析

Wiresharkでキャプチャーデータからメールデータを抽出します。

[ファイル] > [オブジェクトをエクスポート] > [IMF…]をクリックします。IMFはInternet Message Formatの略です。メールパケットの一覧が出てくるので、対象パケットを選択し、[プレビュー]ボタンをクリックします。今回の場合、既定メーラーのThunderbirdでメールファイルが開かれています。メール本文と添付ファイルが表示されていることが分かります。必要に応じて、保存やファイルをオープンします。

Networkminerでのメール添付ファイル解析

pcapファイルを、NetworkMinerの[File] > [Open]でオープンします。自動的に解析されて、結果が表示されます。

Filesタブに抽出したファイル一覧が表示されます。ProttocolでSMTPが、メール関連のファイルです。添付ファイルが2つリストアップされています。添付ファイルを右クリックして、[Open Folder]をクリックすると、エクスポートされているファイルの保存フォルダが開きます。ファイルが正常に保存されていることが分かります。

また、Messsagesタブでは、メールの本文一覧を確認することができます。

ここでは記載していませんが、ブラウザのHTTPによるダウンロード・アップロードファイルでも、同じようにファイルを処理することができます。通信先や認証情報も確認出来て、大変便利です。

まとめ

マルウェアの中には、スパムメッセージや怪しい電子メールを送信するものもあります。今回のやり方でこれらのメールや添付ファイルを解析できるようになっておくと便利です。また、評価環境での確認やCTFの様な出題時に用いれば、大変重宝するツールであると思います。

対象の数の多さや利便性からNetworkMinerを使い、それで解析が難しい場合はWiresharkを利用するのがいいかもしれません。AIやRPAと同じく、可能なところは出来るだけツールの力を借りて、作業を効率化したいですね。

以上、NetworkMinerを使って簡単にメール添付ファイルを解析する手順の紹介でした。

コメント