はまやんはまやんはまやん

hamayanhamayan's blog

CTFのフォレンジックにおけるメールフォレンジックまとめ

Security

親記事 → CTFにおけるフォレンジック入門とまとめ - はまやんはまやんはまやん

メールフォレンジック

  • 怪しいメールに対して調査してくださいという問題
  • それほど難しくはできないので、そんなに頻出ではないイメージ
    • だが、現在フィッシングメールが初期攻撃の大きな要因の1つであることを考えると、興味深い分野ではある
  • フォーマット
    • MBOX: テキストフォーマットなので自然にみられる
    • PST: readpst [pstfile]としてMBOXに変化して確認する
    • Outlook Expressdbxファイルが得られた場合はそのフォルダに移動してundbx .でメール内容が復元できるかも
    • emlファイル: 中身はMBOXと同じっぽい?
  • テキストフォーマットでのメールの確認
    • メールヘッダーの確認
      • とりあえず、Receivedヘッダーが転送時の区切りになるので、Receivedの上にスペースを入れていくと、メールの中継点でどのようなヘッダーが追加されていったかが分かる
      • 他にも以下のようにたくさんある
        • From: 送信元
        • To: 宛先
        • Subject: メールの題名
        • Date: メーラーでのメール送信日時
        • Message-ID: メールの識別子
  • 特にメールの添付ファイルや一部本文は、base64エンコードや、Quoted Printableエンコードされているので、復号化して更に中身を解析することがよくある