邮件快速检测工具

概要介绍

mmpi,是一款使用python实现的开源邮件快速检测工具库,基于community框架设计开发。mmpi支持对邮件头、邮件正文、邮件附件的解析检测,并输出json检测报告。

mmpi,代码项目地址:https://github.com/a232319779/mmpi,pypi项目地址https://pypi.org/project/mmpi/

mmpi,邮件快速检测工具库检测逻辑:

    1. 支持解析提取邮件头数据,包括收件人、发件人的姓名和邮箱,邮件主题,邮件发送时间,以及邮件原始发送IP。通过检测发件人邮箱和邮件原始发送IP,实现对邮件头的检测。
    1. 支持对邮件正文的解析检测,提取texthtml格式的邮件正文,对text邮件正文进行关键字匹配,对html邮件正文进行解析分析检测,实现探针邮件检测钓鱼邮件检测垃圾邮件检测等其他检测。
    1. 支持对邮件附件等解析检测
    • ole文件格式:如doc、xls等,提取其中的vba宏代码、模板注入链接
    • zip文件格式:提取压缩文件列表,统计文件名、文件格式等
    • rtf文件格式:解析内嵌ole对象等
    • 其他文件格式:如PE可执行文件
    1. 检测方式包括
    • 基础信息规则检测方式
    • yara规则检测方式

适用前提

mmpi的分析判定检测前提:邮件系统环境。脱离邮件环境上下文,检测规则的依据就不可靠了。

使用方式

1. 安装

$ pip install mmpi

备注:windows安装yara-python,可以从这里下载

2. 命令执行

$ mmpi-run $email_path

3. 快速开始

from mmpi import mmpi

def main():

    emp = mmpi()

    emp.parse('test.eml')

    report = emp.get_report()

    print(report)

if __name__ == "__main__":

    main()

4. 输出格式

{

	 // 固定字段

    "headers": [],

    "body": [],

    "attachments": [],

    "signatures": []

    // 动态字段

    "vba": [],

    "rtf": [],

}

工具特色

mmpi完全基于python开发,使用python原生emailhtmlzip库进行解析,基于oletool做定制化修改,支持对office文档和rtf文档的解析,再结合yara实现对其他文件的检测。

项目代码结构

.

├── mmpi

│   ├── common

│   ├── core

│   ├── data

│   │   ├── signatures

│   │   │   ├── eml

│   │   │   ├── html

│   │   │   ├── ole

│   │   │   ├── other

│   │   │   ├── rtf

│   │   │   └── zip

│   │   ├── white

│   │   └── yara

│   │       ├── exe

│   │       ├── pdf

│   │       └── vba

│   └── processing

└── tests

    └── samples
  • mmpi/common:基础模块,实现基本流程功能
  • mmpi/core:核心调度模块,实现插件的加载及相关模块的初始化
  • mmpi/data:核心检测模块,实现基本检测规则及yara检测规则
  • mmpi/processing:核心解析模块,实现emlhtmlzip等文件格式的解析
  • tests:测试模块

检测规则示例说明

1. PE文件伪装文档类检测

检测规则:压缩包中文件名以.exe结尾,并且中间插入20个以上空格的

class PEFakeDocument(Signature):

    authors = ["ddvv"]

    sig_type = 'zip'

    name = "pe_fake_document"

    severity = 9

    description = "PE File Fake Document"

    def on_complete(self):

        results = self.get_results()

        for result in results:

            if result.get('type', '') == self.sig_type:

                infos = result.get('value', {}).get('infos', [])

                for info in infos:

                    file_type = info.get('type')

                    file_name = info.get('name')

                    space_count = file_name.count('  ')

                    if 'exe' == file_type and space_count > 20:

                        self.mark(type="zip", tag=self.name, data=info.get('name'))

                        return self.has_marks()

        return None

2. DLL劫持检测

检测规则:压缩包中同时存在exe和dll文件

class DLLHijacking(Signature):

    authors = ["ddvv"]

    sig_type = 'zip'

    name = "dll_hijacking"

    severity = 9

    description = "DLL Hijacking"

    def on_complete(self):

        results = self.get_results()

        for result in results:

            if result.get('type', '') == self.sig_type:

                infos = result.get('value', {}).get('infos', [])

                file_types = [info.get('type') for info in infos]

                if set(['exe', 'dll']).issubset(file_types):

                    self.mark(type="zip", tag=self.name)

                    return self.has_marks()

        return None

3. RTF漏洞利用检测

检测规则:RTF文档中存在OLE对象,并且class_name是OLE2Link或者以equation 开头

class RTFExploitDetected(Signature):

    authors = ["ddvv"]

    sig_type = 'rtf'

    name = "rtf_exploit_detected"

    severity = 9

    description = "RTF Exploit Detected"

    def on_complete(self):

        results = self.get_results()

        for result in results:

            if result.get('type', '') == self.sig_type:

                infos = result.get('value', {}).get('infos', [])

                for info in infos:

                    if info.get('is_ole', False):

                        class_name = info.get('class_name', '')

                        if class_name == 'OLE2Link' or class_name.lower().startswith('equation'):

                            self.mark(type="rtf", tag=self.name)

                            return self.has_marks()

        return None

结果示例

结果说明:邮件包含漏洞利用的RTF文档,属于恶意邮件。

  • 包括收发件人信息、主题信息、发送时间,邮件正文,以及附件信息。
  • vbartf字段为附件检测基本信息。
  • signatures字段说明命中规则。
{

    "headers": [

        {

            "From": [

                {

                    "name": "Mohd Mukhriz Ramli (MLNG/GNE)",

                    "addr": "info@vm1599159.3ssd.had.wf"

                }

            ],

            "To": [

                {

                    "name": "",

                    "addr": ""

                }

            ],

            "Subject": "Re: Proforma Invoice",

            "Date": "2020-11-24 12:37:38 UTC+01:00",

            "X-Originating-IP": []

        }

    ],

    "body": [

        {

            "type": "text",

            "content": " \nDEAR SIR, \n\nPLEASE SIGN THE PROFORMA INVOICE SO THAT I CAN PAY AS SOON AS POSSIBLE.\n\nATTACHED IS THE PROFORMA INVOICE,\n\nPLEASE REPLY QUICKLY, \n\nTHANKS & REGARDS' \n\nRAJASHEKAR \n\n Dubai I Kuwait I Saudi Arabia I India I Egypt \nKuwait: +965 22261501 \nSaudi Arabia: +966 920033029 \nUAE: +971 42431343 \nEmail ID: help@rehlat.co [1]m\n \n\nLinks:\n------\n[1]\nhttps://deref-mail.com/mail/client/OV1N7sILlK8/dereferrer/?redirectUrl=https%3A%2F%2Fe.mail.ru%2Fcompose%2F%3Fmailto%3Dmailto%253ahelp%40rehlat.com"

        }

    ],

    "attachments": [

        {

            "type": "doc",

            "filename": "Proforma Invoice.doc",

            "filesize": 1826535,

            "md5": "558c4aa596b0c4259182253a86b35e8c",

            "sha1": "63982d410879c09ca090a64873bc582fcc7d802b"

        }

    ],

    "vba": [],

    "rtf": [

        {

            "is_ole": true,

            "format_id": 2,

            "format_type": "Embedded",

            "class_name": "EQUATion.3",

            "data_size": 912305,

            "md5": "a5cee525de80eb537cfea247271ad714"

        }

    ],

    "signatures": [

        {

            "name": "rtf_suspicious_detected",

            "description": "RTF Suspicious Detected",

            "severity": 3,

            "marks": [

                {

                    "type": "rtf",

                    "tag": "rtf_suspicious_detected"

                }

            ],

            "markcount": 1

        },

        {

            "name": "rtf_exploit_detected",

            "description": "RTF Exploit Detected",

            "severity": 9,

            "marks": [

                {

                    "type": "rtf",

                    "tag": "rtf_exploit_detected"

                }

            ],

            "markcount": 1

        }

    ]

}

基于Python的邮件检测工具的更多相关文章

  1. 基于Python的XSS测试工具XSStrike使用方法

    基于Python的XSS测试工具XSStrike使用方法 简介 XSStrike 是一款用于探测并利用XSS漏洞的脚本 XSStrike目前所提供的产品特性: 对参数进行模糊测试之后构建合适的payl ...

  2. 基于JavaMail开发邮件发送器工具类

    基于JavaMail开发邮件发送器工具类 在开发当中肯定会碰到利用Java调用邮件服务器的服务发送邮件的情况,比如账号激活.找回密码等功能.本人之前也碰到多次这样需求,为此特意将功能封装成一个简单易用 ...

  3. Unity编辑器:基于NGUI的引用检测工具

    这里共享一个基于NGUI的引用检测工具.工具包括几个部分:Atlas/Sprite的引用查找:字库引用查找:UITexture引用查找:Component查找: 代码就不多介绍了,文章底部提供源码下载 ...

  4. Python 基于Python实现邮件发送

    基于Python实现邮件发送   by:授客 QQ:1033553122 测试环境: Python版本:Python 2.7   注:需要修改mimetypes.py文件(该文件可通过文章底部的网盘分 ...

  5. 基于Python3的漏洞检测工具 ( Python3 插件式框架 )

    目录 Python3 漏洞检测工具 -- lance screenshot requirements 关键代码 usage documents Any advice or sugggestions P ...

  6. 基于Python的交互式可视化工具 [转]

    前几天发现一个可视化工具Dash,当看到它的交互式效果后突然就觉得眼前一亮.早就想写出来分享给大家,今天利用睡前一点时间发出来,希望能给有需要的朋友带来一点帮助或者多一个参考. Dash介绍 在Pyt ...

  7. 基于python的mysql复制工具

    一简介 python-mysql-replication 是由python实现的 MySQL复制协议工具,我们可以用它来解析binlog 获取日志的insert,update,delete等事件 ,并 ...

  8. 基于Python实现邮件发送

    import smtplibfrom email.mime.text import MIMETextemail_host = 'smtp.163.com' # 邮箱地址email_user = 'sz ...

  9. 使用wxpy这个基于python实现的微信工具库的一些常见问题

    使用如下的命令行安装: pip install wxpy Collecting wxpy Downloading https://files.pythonhosted.org/packages/6b/ ...

随机推荐

  1. Django-View中绕过RSCF验证

    在Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被跨域访问.那么对于基于类的视图,我们应该怎么办呢? 简单来说可以有两种访问来解决 方法一:在类的 disp ...

  2. 后端程序员必备的 Linux 基础知识

    1. 从认识操作系统开始 正式开始 Linux 之前,简单花一点点篇幅科普一下操作系统相关的内容. 1.1. 操作系统简介 我通过以下四点介绍什么是操作系统: 操作系统(Operating Syste ...

  3. Java中正则表达式的使用(常用的方法)

    这两天回想了一下正则表达式的使用,顺便就总结了一下java的javascript中使用正则表达式的用法,需要看javascript中使用正则的朋友可以看我的另一篇总结,下面我就简单的介绍一下java中 ...

  4. PyQt(Python+Qt)学习随笔:QListWidgetItem的重要方法

    老猿Python博文目录 专栏:使用PyQt开发图形界面Python应用 老猿Python博客地址 QListWidgetItem类为QListWidget类提供构成QListWidget列表部件的项 ...

  5. PyQt(Python+Qt)学习随笔:快速理解Qt 中Action是什么

    一.引言 Qt中Action这个词接触很久了,一直以来没去学习,今天终于准备学习了,查了些资料,初步总结为: Action为界面操作的抽象,应用程序可以通过菜单,工具栏按钮以及键盘快捷键来调用通用的命 ...

  6. Github 美化设置个人主页

    起因是发现自己follow的大师傅个人主页跟普通的不太一样: 猜测应该是Github啥时候出现的新功能,查了一下,发现可以通过创建同名仓库来实现个人主页的美化设置 首先在 GitHub 上建立一个与自 ...

  7. [BJDCTF 2nd]Schrödinger && [BJDCTF2020]ZJCTF,不过如此

    [BJDCTF 2nd]Schrödinger 点进题目之后是一堆英文,英语不好就不配打CTF了吗(流泪) 复制这一堆英文去谷歌翻译的时候发现隐藏文字 移除test.php文件,访问test.php ...

  8. metasploit魔鬼训练营靶机环境搭建(第二章)

    环境搭建,书上已经很详细了,路由转发的那个鼓捣了好久都没弄好,菜的啊 所以先往书后面继续学习,不停留在配置环境上了. backtrack没有下载,使用的kali linux 其他的都是一样的 百度网盘 ...

  9. CF1147F Zigzag Game & 稳定婚姻问题学习笔记

    CF1147F Zigzag Game 这题太神仙了,不得不记录一下. 我网络流做不动了,DS做不动了,DP做不动了,特别自闭.于是博弈论之神(就是随手切3500博弈的那种) \(\color{bla ...

  10. 7、Spring Cloud Hystrix

    1.Spring Cloud Hystrix简介 (1).分布式问题 复杂分布式体系结构中的应用程序有数十个依赖关系,每个依赖关系在某些时候将不可避免地失败. 多个微服务之间调用的时候,假设微服务A调 ...