Я получил вредоносное письмо, как мне убедиться, что я в безопасности?

10

Я вошел в Gmail и получил электронное письмо от Amazon с просьбой оценить недавний заказ. Я не узнал компанию, но решил открыть письмо, потом сразу увидел, что оно не от Amazon, и выглядело как «плохое» письмо со множеством случайных вещей и кем-то, пытающимся что-то использовать.

Я на 16.04. Я всегда читаю Ubuntu довольно безопасно, потому что все требует рута. Есть ли какое-либо программное обеспечение, которое я должен запустить, чтобы убедиться, что в моей системе сейчас нет ничего, или что-то, что я должен сделать, чтобы убедиться, что я в безопасности? Я обычно осторожен с электронными письмами, но этот получил меня.

security malware Kdrumz
источник
2
Вы должны отключить отображение изображений по умолчанию для всех электронных писем в клиенте Gmail и разрешить его для каждой электронной почты.
Патрик
«случайные вещи» не значит много. И почему вы думаете, что «кто-то пытается что-то использовать»? Скорее всего, это письмо от связанного поставщика, который настаивает на хорошем обзоре своего продукта.
Карл Виттхофт

Ответы:

26

Я считаю маловероятным, что ваша система подверглась атаке каким-либо образом, но исключить ее полностью невозможно.

В большинстве «спам» электронных писем встречаются случайные символы в попытке обойти (плохо реализованные) фильтры спама, но это не означает, что это может представлять угрозу.

Если само письмо не содержит какого-либо изображения (и IIRC Gmail блокирует изображения, если вы не открываете его вручную), и вы не увидели это изображение, очень трудно внедрить в письмо что-либо вредоносное, за исключением, возможно, нулевого CSS / HTML -день (как CVE-2008-2785 , CSS), но это кажется маловероятным. Несмотря на это, большинство эксплойтов на основе браузера не работают должным образом из-за изолированной среды браузера и других аналогичных функций безопасности, хотя они все еще уязвимы для эксплойта (см. CVE-2016-1706 ).

Но давайте пойдем по маршруту с изображением, потому что он наиболее вероятен. Вредоносные программы - увлекательный предмет , но на самом деле они сводятся к тому, что они относительно редки, потому что вы можете использовать только определенные версии определенной программы, обычно только в определенной операционной системе. Как можно догадаться, эти ошибки, как правило, быстро и быстро устраняются.

Окно для такого рода атак очень мало, и вряд ли вы попадете под него, если оно есть. Из-за характера этих эксплойтов их можно (потенциально) использовать для выхода из песочницы, предоставляемой браузерами. Для примера того, как что-то подобное может произойти, посмотрите на CVE-2016-3714 для ImageMagick. Или, специально для Google Chrome (или, точнее, libopenjp2), см. CVE-2016-8332 .

Вполне возможно, что полученное вами электронное письмо содержало вредоносное изображение, которое использовало некоторую ошибку в механизме рендеринга изображений, заражающую вашу машину. Это уже довольно маловероятно, и если вы поддерживаете свою систему в актуальном состоянии, вам не о чем беспокоиться. Например, в случае использования эксплойта OpenJPEG, упомянутого ранее, любая система с версией 2.1.2 (выпущенной 28 сентября 2016 года ) будет защищена от этого эксплойта.

Если вы чувствуете , как будто вы или ваша система была заражена, это хорошая идея , чтобы запустить стандартные проверки, в том числе clamav, rkhunter, ps -aux, netstat, и старый добрый поиск журнала. Если вы действительно чувствуете, что ваша система заражена, вытрите ее и начните с нуля из последней заведомо исправной резервной копии. Убедитесь, что ваша новая система обновлена ​​настолько, насколько это возможно.

Но в этом случае, скорее всего, ничего. Электронные письма теперь являются менее опасными векторами атаки, поскольку они являются мусорными магнитами. Если хотите, в HowToGeek даже есть статья по этому вопросу, которая гласит, что простого открытия электронной почты обычно уже недостаточно. Или даже посмотрите, что ответ SuperUser говорит о том же самом.

Каз Вулф
источник
Большое спасибо за интересный пост! Вы бы порекомендовали мне выполнить все эти стандартные тесты? Я немного новичок в Ubuntu, поэтому я не знаю, как выполнить поиск по журналу, pm или netstat, но я думаю, что смогу это выяснить! Я обязательно получу клаву, когда вернусь домой первым.
Kdrumz
2
Действительно, psи netstatэто просто команды, которые сбрасывают информацию о вашей системе. Используйте их для поиска странных процессов или странных сетевых подключений, а также для определения их происхождения (и, возможно, того, что они делают). Что касается поиска в журнале, то в большинстве случаев /var/logможет быть вирус (если вы знаете, на что обращать внимание). Поскольку точное указание на то , что нужно искать, может, вероятно, заполнить всю библиотеку, попробуйте сначала поискать в Google что-нибудь подозрительное, а затем, возможно, задать новый вопрос или зайти в чат, где мы сможем помочь.
Каз Вулф
1
Просто обратите внимание, что Gmail теперь автоматически загружает изображения, если только они не считают, что они вредоносные, а изменили их, возможно, год назад. Он загружает их через прокси-сервер, чтобы помочь защитить конфиденциальность, и они говорят, что они также выполняют своего рода сканирование вредоносных программ на этих изображениях: support.google.com/mail/answer/…
Стив
1
@Steve Gmail не загружает изображения, если они находятся в вашей папке со спамом.
Каз Вулф
2
@Kdrumz, да, если вы устанавливаете с apt, у вас все будет в порядке (как правило, здесь вы найдете другую статью о вирусах из apt)
Kaz Wolfe
11

Общие указатели:

  • проверьте время на все скрытые файлы в вашем доме.
  • проверьте, topи psесли вы видите какие-то странные процессы, запущенные.
  • проверьте Google для части содержимого электронной почты. Посмотрите, сообщили ли другие о проблемах, связанных с этой почтой.
  • проверить. /var/logновые записанные файлы журнала и изучить их.

Но в целом я бы поверил, что ты в порядке. Gmail не имеет права что-либо делать на вашем диске без согласия. Chrome и все браузеры находятся в песочнице. Одно это должно сделать его довольно безопасным. Если не просто безопасно.

Если вы хотите, мы можем проанализировать письмо, если вы хотите добавить содержание этого письма к вашему вопросу.

Rinzwind
источник
Спасибо за пост! Мне немного интересно, вы, ребята, проверяете электронную почту. Как бы я это сделал? Вернусь ли я к Gmail, снова открою письмо, скопируешь и вставишь его сюда? Это опасно для меня? Он не должен содержать никакой моей личной информации, я бы не подумал, верно?
Kdrumz
@Kdrumz Следуйте инструкциям в разделе gmail, указанном здесь, чтобы получить исходную стенограмму электронной почты. Обратите внимание, что это (возможно) будет содержать ваше имя и адрес электронной почты, поэтому обязательно отредактируйте это и все остальное, что выглядит чувствительным / идентифицирующим / уникальным. Вот пример электронной почты, которую я только что отредактировал: pastebin.com/wAU5aJuC
Kaz Wolfe
3

ClamAV - хороший антивирусный инструмент для Ubuntu. Есть много вопросов и ответов о том, как получить ClamAV, поэтому я предлагаю вам посмотреть здесь на Ask Ubuntu, и один из примеров ->

Установка и доступ к Clam AV Antivirus в 12.04

Пользователь Ubuntu
источник