Links in einer Sandbox analysieren

Worum geht’s? Man hat beispielsweise einen Link in einer Spam-E-Mail bekommen. Das kann man gepflegt ignorieren, oder aber man schaut, was dahinter steckt. Davon wird oftmals abgeraten, weil das sei ja hochgradig gefährlich, man könnte sich ja Malware einfangen und und und. Also resignieren Leute bloß aufgrund eines Links aus einer unbekannten Quelle? Nein. Man muss differenzieren. Leute, die wissen, was sie tun, können Links aus unbekannten Quellen gefahrlos analysieren. Leute, die nicht wissen, was sie tun, sollten das vielleicht sein lassen, weil ganz ungefährlich ist es tatsächlich nicht. Dieser Artikel soll umreißen, was man beachten sollte.

Es geht im Wesentlichen darum, sich vorher eine sichere Umgebung aufzubauen, in der man die Links analysieren (aka anklicken und den dahinter befindlichen Inhalt anschauen) kann. Wie macht man das? Mit Virtualisierung. Man braucht eine isolierte Umgebung, in der ein Angreifer nichts kaputt machen kann, also eine sogenannte Sandbox. Dafür nimmt man typischerweise eine virtuelle Maschine (VM), also etwa mittels Virtual box oder VMWare Workstation. (Wahlweise kann man dafür falls verfügbar auch einen deidizierten Rechner nehmen, aber das ist unnötig oversized in Zeiten von Virtualisierung.) Diese VM darf keine in irgendeiner Form sensitiven Informationen beinhalten. In dieser virtuellen Maschine kann man nun den Link gefahrenfrei öffnen. Wie öffnet man ihn? Nun, man kann klassisch den Browser verwenden, wenn man sehen will, wie die Seite angezeigt wird, wenn man sie einfach anklicken würde. Man kann auch z. B. wget verwenden, wenn man die Seite downloaden und den Quelltext anschauen möchte, ohne dass z. B. Javascript das DOM vom HTML verändert. Also je nach dem, was man machen will, verwendet man natürlich andere Programme. Aber alle haben gemeinsam: In einer virtuellen Maschine ohne sensitive Informationen kann man nichts kaputt machen. Warum? Wenn der worst case eintritt (man hat plötzlich malware auf seinem Rechner laufen), dann läuft diese Malware nur in der VM, sprich: In der Sandbox. Die Malware kann ziemlich sicher nicht aus der VM ausbrechen und auf das Host-Betriebssystem übergreifen. Man kann Erkenntnisse gewinnen und – wenn man sie als virenfrei einschätzt – auch aus der VM exportieren, aber ob die VM selbst dabei von Malware befallen wird oder nicht, ist vollkommen egal, weil man sie nach getaner Arbeit einfach löschen kann. Man kann sie auch herunterfahren oder schlicht pausieren und später bei Bedarf wieder weiter ausführen, und selbst das ist nicht mal schädlich, weil die Malware auch in Zukunft nicht auf das Host-Betriebssystem überspringen kann.
Wichtig ist dabei, dass man den fraglichen Link wirklich dediziert in die VM kopiert und dort öffnet. Wenn man in der VM erstmal sein Thunderbird runterlädt, und da sein Mail-Account hinzufügt, um dann den Link in dem Thunderbird in der VM anzuklicken, bringt das wenig Sicherheit, weil die anderen E-Mails in dem Mail-Account für die Malware potenziell erreichbar sind, einfach allein weil sie seit dem Hinzufügen des Mail-Accounts in Thunderbird in der VM sind. Solange man aber den Link aus der E-Mail (wo auch immer man sie öffnet) rauskopiert, ohne den Link anzuklicken, und dann nur in einer in keiner Weise personalisierten VM öffnet, kann wenig passieren. Was man beachten muss, wenn das ein Link zu einem Server ist, der vom Angreifer kontrolliert wird, ist, dass der Angreifer auf seinem Server sehen kann, dass ihr den Link aufgerufen habt. Er hat damit – sofern ihr kein VPN oder ähnliches verwendet – eure IP-Adresse und weiß, dass ihr den Link wie auch immer geöffnet habt. Das ist nicht per se schädlich, aber vielleicht trotzdem interessant für den Angreifer.