WerkzeugKastenMittwoch: eMails sind nach wie vor eines der größten Übel. Entweder beinhalten sie Links zu Phishing-Seiten oder direkt Malware.
Sollte es doch eine maliziöse Mail durch die eMail Security schaffen, kann man die Links z.b. in das vor ein paar Wochen vorgestellte Tool urlscan[.]io eingeben und ein Rating der Seite erhalten.
Möchte man jetzt jedoch genau sehen, was sich hinter dem Link versteckt oder gar was eine Datei beim Ausführen macht, kann man mit dem Tool von dieser Woche machen.
Any[.]run https://any.run/ ist eine online Sandbox zur Malwareanalyse. Mit dem kostenlosen Community-Account bekommt man pro Ausführung 60 Sekunden Zeit um auch interaktiv einen Link oder ausführbare Datei zu untersuchen.
Wichtig zu erwähnen, auch hier keine vertraulichen oder internen Dateien oder Links eingeben, da die Analysen öffentlich für jeden einzusehen und die hochgeladenen Dateien heruntergeladen werden können! Also nur Eingeben / Hochladen, was sehr sicher schadhaft ist und keine internen Daten beinhaltet!
Mit den bezahlten Accounts bekommt man u.a. mehr Zeit, mehrere Betriebssystemversionen und ausführliche Berichte. Bei der kostenlosen Variante erhält man neben der Bildschirmaufzeichnung, den Netzwerkverkehr und ausgeführte Prozesse aufgezeigt. Das beobachtete Verhalten wird auf das MITRE ATT&CK Framework gemapped und ein Verhaltensgraph angezeigt.
Any.run lässt sich sogar in andere Software, wie z.B. Splunk integrieren! Zum Analysieren von Malware und Phishing-Links, fast schon ein Muss für den Werkzeugkasten.