python 邮件检测工具mmpi的使用

概要介绍

mmpi，是一款使用python实现的开源邮件快速检测工具库，基于community框架设计开发。mmpi支持对邮件头、邮件正文、邮件附件的解析检测，并输出json检测报告。

mmpi，代码项目地址：https://github.com/a232319779/mmpi，pypi项目地址https://pypi.org/project/mmpi/

mmpi，邮件快速检测工具库检测逻辑：

• 支持解析提取邮件头数据，包括收件人、发件人的姓名和邮箱，邮件主题，邮件发送时间，以及邮件原始发送IP。通过检测发件人邮箱和邮件原始发送IP，实现对邮件头的检测。

• 支持对邮件正文的解析检测，提取text和html格式的邮件正文，对text邮件正文进行关键字匹配，对html邮件正文进行解析分析检测，实现探针邮件检测、钓鱼邮件检测、垃圾邮件检测等其他检测。

• 支持对邮件附件等解析检测

ole文件格式：如doc、xls等，提取其中的vba宏代码、模板注入链接
zip文件格式：提取压缩文件列表，统计文件名、文件格式等
rtf文件格式：解析内嵌ole对象等
其他文件格式：如PE可执行文件

• 检测方式包括

基础信息规则检测方式
yara规则检测方式

适用前提

mmpi的分析判定检测前提：邮件系统环境。脱离邮件环境上下文，检测规则的依据就不可靠了。

使用方式

1. 安装

$ pip install mmpi

备注：windows安装yara-python，可以从这里下载

2. 命令执行

$ mmpi-run $email_path

3. 快速开始

from mmpi import mmpi

def main():
 emp = mmpi()
 emp.parse('test.eml')
 report = emp.get_report()
 print(report)

if __name__ == "__main__":
 main()

4. 输出格式

{
// 固定字段
 "headers": [],
 "body": [],
 "attachments": [],
 "signatures": []
 // 动态字段
 "vba": [],
 "rtf": [],
}

工具特色

mmpi完全基于python开发，使用python原生email、html、zip库进行解析，基于oletool做定制化修改，支持对office文档和rtf文档的解析，再结合yara实现对其他文件的检测。

项目代码结构

.
├── mmpi
│   ├── common
│   ├── core
│   ├── data
│   │   ├── signatures
│   │   │   ├── eml
│   │   │   ├── html
│   │   │   ├── ole
│   │   │   ├── other
│   │   │   ├── rtf
│   │   │   └── zip
│   │   ├── white
│   │   └── yara
│   │     ├── exe
│   │     ├── pdf
│   │     └── vba
│   └── processing
└── tests
 └── samples

• mmpi/common：基础模块，实现基本流程功能

• mmpi/core：核心调度模块，实现插件的加载及相关模块的初始化

• mmpi/data：核心检测模块，实现基本检测规则及yara检测规则

• mmpi/processing：核心解析模块，实现eml、html、zip等文件格式的解析

• tests：测试模块
  

检测规则示例说明

1. PE文件伪装文档类检测
检测规则：压缩包中文件名以.exe结尾，并且中间插入20个以上空格的

class PEFakeDocument(Signature):
 authors = ["ddvv"]
 sig_type = 'zip'
 name = "pe_fake_document"
 severity = 9
 description = "PE File Fake Document"

def on_complete(self):
   results = self.get_results()
   for result in results:
     if result.get('type', '') == self.sig_type:
       infos = result.get('value', {}).get('infos', [])
       for info in infos:
         file_type = info.get('type')
         file_name = info.get('name')
         space_count = file_name.count(' ')
         if 'exe' == file_type and space_count > 20:
           self.mark(type="zip", tag=self.name, data=info.get('name'))
           return self.has_marks()
   return None

2. DLL劫持检测
检测规则：压缩包中同时存在exe和dll文件

class DLLHijacking(Signature):
 authors = ["ddvv"]
 sig_type = 'zip'
 name = "dll_hijacking"
 severity = 9
 description = "DLL Hijacking"

def on_complete(self):
   results = self.get_results()
   for result in results:
     if result.get('type', '') == self.sig_type:
       infos = result.get('value', {}).get('infos', [])
       file_types = [info.get('type') for info in infos]
       if set(['exe', 'dll']).issubset(file_types):
         self.mark(type="zip", tag=self.name)
         return self.has_marks()
   return None

3. RTF漏洞利用检测
检测规则：RTF文档中存在OLE对象，并且class_name是OLE2Link或者以equation开头

class RTFExploitDetected(Signature):
 authors = ["ddvv"]
 sig_type = 'rtf'
 name = "rtf_exploit_detected"
 severity = 9
 description = "RTF Exploit Detected"

def on_complete(self):
   results = self.get_results()
   for result in results:
     if result.get('type', '') == self.sig_type:
       infos = result.get('value', {}).get('infos', [])
       for info in infos:
         if info.get('is_ole', False):
           class_name = info.get('class_name', '')
           if class_name == 'OLE2Link' or class_name.lower().startswith('equation'):
             self.mark(type="rtf", tag=self.name)
             return self.has_marks()
   return None

结果示例

结果说明：邮件包含漏洞利用的RTF文档，属于恶意邮件。

• 包括收发件人信息、主题信息、发送时间，邮件正文，以及附件信息。

• vba和rtf字段为附件检测基本信息。

• signatures字段说明命中规则。

{
 "headers": [
   {
     "From": [
       {
         "name": "Mohd Mukhriz Ramli (MLNG/GNE)",
         "addr": "info@vm1599159.3ssd.had.wf"
       }
     ],
     "To": [
       {
         "name": "",
         "addr": ""
       }
     ],
     "Subject": "Re: Proforma Invoice",
     "Date": "2020-11-24 12:37:38 UTC+01:00",
     "X-Originating-IP": []
   }
 ],
 "body": [
   {
     "type": "text",
     "content": " \nDEAR SIR, \n\nPLEASE SIGN THE PROFORMA INVOICE SO THAT I CAN PAY AS SOON AS POSSIBLE.\n\nATTACHED IS THE PROFORMA INVOICE,\n\nPLEASE REPLY QUICKLY, \n\nTHANKS & REGARDS' \n\nRAJASHEKAR \n\n Dubai I Kuwait I Saudi Arabia I India I Egypt \nKuwait: +965 22261501 \nSaudi Arabia: +966 920033029 \nUAE: +971 42431343 \nEmail ID: help@rehlat.co [1]m\n \n\nLinks:\n------\n[1]\nhttps://deref-mail.com/mail/client/OV1N7sILlK8/dereferrer/?redirectUrl=https％3A％2F％2Fe.mail.ru％2Fcompose％2F％3Fmailto％3Dmailto％253ahelp％40rehlat.com"
   }
 ],
 "attachments": [
   {
     "type": "doc",
     "filename": "Proforma Invoice.doc",
     "filesize": 1826535,
     "md5": "558c4aa596b0c4259182253a86b35e8c",
     "sha1": "63982d410879c09ca090a64873bc582fcc7d802b"
   }
 ],
 "vba": [],
 "rtf": [
   {
     "is_ole": true,
     "format_id": 2,
     "format_type": "Embedded",
     "class_name": "EQUATion.3",
     "data_size": 912305,
     "md5": "a5cee525de80eb537cfea247271ad714"
   }
 ],
 "signatures": [
   {
     "name": "rtf_suspicious_detected",
     "description": "RTF Suspicious Detected",
     "severity": 3,
     "marks": [
       {
         "type": "rtf",
         "tag": "rtf_suspicious_detected"
       }
     ],
     "markcount": 1
   },
   {
     "name": "rtf_exploit_detected",
     "description": "RTF Exploit Detected",
     "severity": 9,
     "marks": [
       {
         "type": "rtf",
         "tag": "rtf_exploit_detected"
       }
     ],
     "markcount": 1
   }
 ]
}

来源：https://www.cnblogs.com/ddvv/p/14225799.html