Digital Forensics: Email Investigation Part I.
เป็นงานแรกๆ ที่ admin เริ่มทำ โดยการหาข้อมูลจาก Email ว่าใครส่ง ส่งมาจากไหน ประเทศอะไร IP address อะไร บลาๆ
การสืบสวนหาผู้ส่งจดหมายอิเล็กทรอนิกส์ โดยวิเคราะห์จากอีเมล์เฮดเดอร์ (Email Header)
โดยทั่วไปการสืบสวนรวบรวมพยานหลักฐาน ในความผิดที่มีจดหมายอิเล็กทรอนิกส์ เข้ามาเกี่ยวข้องด้วยนั้น การวิเคราะห์ที่มาของจดหมายดังกล่าว นับเป็นขั้นตอนการดำเนินการหนึ่งซึ่งจะทำให้ผู้ทำการสืบสวน สามารถวิเคราะห์ได้ว่า จดหมายที่ถูกส่งมาจากผู้ส่งที่แท้จริงหรือไม่ หรือถูกปลอมแปลงโดยวิธีใด ซึ่้งนับเป็นส่วนสาระสำคัญต่อการสืบสวนเป็นอย่างยิ่ง
โดยทั่วไปการสืบสวนรวบรวมพยานหลักฐาน ในความผิดที่มีจดหมายอิเล็กทรอนิกส์ เข้ามาเกี่ยวข้องด้วยนั้น การวิเคราะห์ที่มาของจดหมายดังกล่าว นับเป็นขั้นตอนการดำเนินการหนึ่งซึ่งจะทำให้ผู้ทำการสืบสวน สามารถวิเคราะห์ได้ว่า จดหมายที่ถูกส่งมาจากผู้ส่งที่แท้จริงหรือไม่ หรือถูกปลอมแปลงโดยวิธีใด ซึ่้งนับเป็นส่วนสาระสำคัญต่อการสืบสวนเป็นอย่างยิ่ง
Email Header เป็นส่วนหัวของอีเมล์ เป็นส่วนที่แสดงถึงรายละเอียดต่างๆของอีเมล์ ได้แก่ Message-ID: ของ E-mail (message header), วันที่และเวลาที่ส่ง, เซิร์ฟเวอร์ที่ใช้ส่งออกอีเมล์, ชื่อผู้รับ, ชื่อผู้ส่ง เช่น ข้อมูลเกี่ยวกับผู้รับ/ผู้ส่ง, IP ADDRESS, วันที่,
เวลา EMAIL ที่คุณได้รับ
บอกละเอียดถึงกับว่าถูกส่งมาจากคอมพิวเตอร์เครื่องใด รหัสเครื่องใด
อย่างละเอียด ซึ่งรายละเอียดต่าง ๆ นี้จะไม่ปรากฏในเนื้อหาของ Email ทั่ว ๆ
ไปที่เราเห็น ส่วนหัวของอีเมล์(Email Header) ในแต่ละข้อมูลจะประกอบไปด้วยรายละเอียดดังต่อไปนี้
Subject:- เก็บหัวเรื่อง
Date: เก็บวันเวลาที่อีเมลถูกส่ง
Message-ID: เก็บค่า ID ของ email จดหมายอิเล็กทรอนิกส์
Content: - เก็บค่ารูปแบบ email จดหมายอิเล็กทรอนิกส์
X-Mailer: เก็บค่าของซอฟต์แวร์ที่ใช้ในการส่ง Email จดหมายอิเล็กทรอนิกส์
X-Originating-IP : IP address ที่ส่ง Email จดหมายอิเล็กทรอนิกส์
Return-path: คือ บัญชีอีเมล์ต้นทาง (ผู้ส่ง)
Envelope-to: คือ บัญชีอีเมล์ปลายทาง (ผู้รับ)
Delivered-To: examplegolf@gmail.com เป็นการแจ้งว่าส่งเมลถึง Email account อะไร
Delivery-date: คือ วันที่และเวลาที่ข้อความอีเมล์มาถึงผู้รับ
Received: from ......... คือ ชื่อ Server ของผู้ส่ง และจะบอก IP Address ด้วยว่าต้นทางส่งมาจากที่ใด เก็บค่าส่งอีเมลว่าถูกส่งจากที่ใดบ้าง
ตัวอย่าง
#ผู้ส่งส่งจาก ip 171.101.200.246 : ซึ่งเป็น internet ของ TRUE ISP
Received: from cm-171-101-200-246.revip11.asianet.co.th ([171.101.200.246] helo=abc)
by ns.packetlove.com with esmtpa (Exim 4.84)
(envelope-from )
id 1aXRW2-00076Q-4a
SPF Record หรือ Sender Policy Framework คือ ค่าที่ระบุ Server email ที่ได้รับอนุญาติให้ส่ง email ในนาม Domain ผู้ส่งซึ่งจะระบุเป็น IP Address ของ mail server
ตัวอย่าง
#google.com ทำการเชค SPF ของ domain : systems.co.th เรียบร้อยอนุญาตให้รับเข้ามาได้
Received-SPF: pass (google.com: domain of abc@systems.co.th designates 103.246.123.123 as permitted sender) client-ip=103.246.123.123;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of abc@systems.co.th designates 103.246.123.123 as permitted sender) smtp.mailfrom=abc@systems.co.th;
dkim=pass header.i=@systems.co.th
DKIM ย่อมาจากคำว่า Domain Keys Identified Mail ซึ่งตัว feature นี้จะเอาไว้คล้ายๆ เซ็นต์ลายเซ็นต์ของอีเมลเรา แล้วส่งออกไป เพื่อป้องกันการปลอมแปลงอีเมลในขาส่งออก โดยทางเซิฟเวอร์ปลายทางจะทำการตรวจสอบได้ โดยอาศัยการใช้ ลายเซ็นต์สาธารณะ
ตัวอย่าง
# มีการ DKIM สำหรับ domain keys systems.co.th อย่างถูกต้อง
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=systems.co.th; s=x;
h=Content-Type:MIME-Version:Message-ID:Date:Subject:To:From; bh=WHJu+w3CuK2R;
b=fxoHVMzttU;
ตัวอย่าง
#มีการรับอีเมลเข้ามาโดย IP 10.55.145.7 วันที่ 21 Feb 2016 , เวลา 02:45:31 ในส่วนของ timezone -0800 (PST) ถ้ามองให้เป็นเวลา (ICT) +0700 ต้องทำการ จะเท่ากับ
### +1500 -0800 = +0700 นะครับในกรณีนี้จะเป็น 02:45:31 + 15hr = 17:45:31 (ICT) เวลาไทยๆครับผม
Received: by 10.55.145.7 with SMTP id t7csp712793qkd;
Sun, 21 Feb 2016 02:45:31 -0800 (PST)
X-Received: by 10.66.62.134 with SMTP id y6mr30397395par.43.1456051531356;
Sun, 21 Feb 2016 02:45:31 -0800 (PST)
วิธี View Source เพื่อดู Header ของอีเมล์
ตัวอย่าง Email ที่ส่งมาจาก google
ตัวอย่าง Spam
เป็น Spam ที่ปลอมว่ามาจาก Samsung ส่งมาแต่ Message-ID เป็นของที่ไหนก็ไม่รู้ @localhost.localdomain
ทำการ Lookup ค่า SPF IP address พบว่าเป็น IP ของ amazonaws.com
รายละเอียดเหล่านี้จะมีการบันทึกข้อมูลที่อีเมลเดินทาง จะอยู่ใน E-Mail Header
E-mail and Social Media Investigations
อ่านเพิ่มเติม Digital Forensics: Email Investigation Part II.
ที่มา:
https://bit.ly/2c0XTda
https://bit.ly/2Ja5t3D
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud