-
Notifications
You must be signed in to change notification settings - Fork 0
Expand file tree
/
Copy pathemail_analyzer.py
More file actions
362 lines (300 loc) · 12.8 KB
/
email_analyzer.py
File metadata and controls
362 lines (300 loc) · 12.8 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
"""
Analizador de Correos Electrónicos
Este script analiza correos electrónicos en busca de indicadores de phishing,
incluyendo análisis de headers, URLs, adjuntos y contenido.
"""
import os
import sys
import json
import logging
import email
import re
import urllib.parse
import dns.resolver
import pandas as pd
from datetime import datetime
from typing import Dict, List, Any, Optional
import hashlib
import magic
import requests
from bs4 import BeautifulSoup
class EmailAnalyzer:
def __init__(self, email_path: str):
"""
Inicializa el analizador de correos
Args:
email_path (str): Ruta al archivo de correo
"""
self.email_path = email_path
self.results = {
'informacion_basica': {},
'headers': {},
'contenido': {},
'urls': [],
'adjuntos': [],
'indicadores_phishing': [],
'riesgo': 0
}
# Configurar logging
logging.basicConfig(
level=logging.INFO,
format='%(asctime)s - %(levelname)s - %(message)s'
)
def cargar_correo(self) -> Optional[email.message.Message]:
"""
Carga el correo desde el archivo
Returns:
Optional[email.message.Message]: Objeto de correo o None si hay error
"""
try:
with open(self.email_path, 'r', encoding='utf-8') as f:
return email.message_from_file(f)
except Exception as e:
logging.error(f"Error al cargar correo: {str(e)}")
return None
def analizar_headers(self, msg: email.message.Message) -> Dict[str, Any]:
"""
Analiza los headers del correo
Args:
msg (email.message.Message): Objeto de correo
Returns:
Dict[str, Any]: Información de los headers
"""
try:
headers = {
'from': msg.get('From', ''),
'to': msg.get('To', ''),
'subject': msg.get('Subject', ''),
'date': msg.get('Date', ''),
'return_path': msg.get('Return-Path', ''),
'received': msg.get_all('Received', []),
'spf': msg.get('Received-SPF', ''),
'dkim': msg.get('DKIM-Signature', ''),
'dmarc': msg.get('Authentication-Results', '')
}
self.results['headers'] = headers
return headers
except Exception as e:
logging.error(f"Error al analizar headers: {str(e)}")
return {}
def analizar_contenido(self, msg: email.message.Message) -> Dict[str, Any]:
"""
Analiza el contenido del correo
Args:
msg (email.message.Message): Objeto de correo
Returns:
Dict[str, Any]: Información del contenido
"""
try:
contenido = {
'texto_plano': '',
'html': '',
'urls': [],
'palabras_clave': []
}
# Extraer texto plano y HTML
for part in msg.walk():
if part.get_content_type() == 'text/plain':
contenido['texto_plano'] += part.get_payload(decode=True).decode('utf-8', errors='ignore')
elif part.get_content_type() == 'text/html':
contenido['html'] += part.get_payload(decode=True).decode('utf-8', errors='ignore')
# Extraer URLs
urls = re.findall(r'http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*\\(\\),]|(?:%[0-9a-fA-F][0-9a-fA-F]))+',
contenido['texto_plano'] + contenido['html'])
contenido['urls'] = list(set(urls))
# Buscar palabras clave de phishing
palabras_clave = [
'urgente', 'importante', 'verificar', 'cuenta', 'contraseña',
'seguridad', 'banco', 'paypal', 'amazon', 'microsoft',
'actualizar', 'confirmar', 'suspender', 'bloquear'
]
texto_completo = contenido['texto_plano'].lower() + contenido['html'].lower()
contenido['palabras_clave'] = [word for word in palabras_clave if word in texto_completo]
self.results['contenido'] = contenido
return contenido
except Exception as e:
logging.error(f"Error al analizar contenido: {str(e)}")
return {}
def analizar_urls(self, urls: List[str]) -> List[Dict[str, Any]]:
"""
Analiza las URLs encontradas en el correo
Args:
urls (List[str]): Lista de URLs a analizar
Returns:
List[Dict[str, Any]]: Información de las URLs
"""
try:
urls_info = []
for url in urls:
parsed = urllib.parse.urlparse(url)
info = {
'url': url,
'dominio': parsed.netloc,
'ruta': parsed.path,
'parametros': parsed.query,
'es_phishing': False,
'motivos': []
}
# Verificar dominio
try:
dns.resolver.resolve(parsed.netloc, 'A')
except:
info['motivos'].append('Dominio no resuelvable')
info['es_phishing'] = True
# Verificar longitud de URL
if len(url) > 100:
info['motivos'].append('URL muy larga')
info['es_phishing'] = True
# Verificar caracteres especiales
if '%' in url or '@' in url:
info['motivos'].append('Caracteres sospechosos en URL')
info['es_phishing'] = True
urls_info.append(info)
self.results['urls'] = urls_info
return urls_info
except Exception as e:
logging.error(f"Error al analizar URLs: {str(e)}")
return []
def analizar_adjuntos(self, msg: email.message.Message) -> List[Dict[str, Any]]:
"""
Analiza los archivos adjuntos del correo
Args:
msg (email.message.Message): Objeto de correo
Returns:
List[Dict[str, Any]]: Información de los adjuntos
"""
try:
adjuntos = []
for part in msg.walk():
if part.get_content_maintype() == 'multipart':
continue
if part.get('Content-Disposition') is None:
continue
filename = part.get_filename()
if filename:
adjunto = {
'nombre': filename,
'tipo': part.get_content_type(),
'tamano': len(part.get_payload(decode=True)),
'hash_md5': hashlib.md5(part.get_payload(decode=True)).hexdigest(),
'es_sospechoso': False,
'motivos': []
}
# Verificar extensiones sospechosas
extensiones_sospechosas = ['.exe', '.bat', '.cmd', '.ps1', '.vbs', '.js', '.jar']
if any(filename.lower().endswith(ext) for ext in extensiones_sospechosas):
adjunto['motivos'].append('Extensión sospechosa')
adjunto['es_sospechoso'] = True
adjuntos.append(adjunto)
self.results['adjuntos'] = adjuntos
return adjuntos
except Exception as e:
logging.error(f"Error al analizar adjuntos: {str(e)}")
return []
def buscar_indicadores_phishing(self) -> List[str]:
"""
Busca indicadores de phishing en el correo
Returns:
List[str]: Lista de indicadores encontrados
"""
try:
indicadores = []
# Verificar headers
if not self.results['headers'].get('spf'):
indicadores.append('Falta verificación SPF')
if not self.results['headers'].get('dkim'):
indicadores.append('Falta firma DKIM')
# Verificar URLs
for url in self.results['urls']:
if url['es_phishing']:
indicadores.append(f"URL sospechosa: {url['url']}")
# Verificar adjuntos
for adjunto in self.results['adjuntos']:
if adjunto['es_sospechoso']:
indicadores.append(f"Adjunto sospechoso: {adjunto['nombre']}")
# Verificar contenido
if len(self.results['contenido'].get('palabras_clave', [])) > 3:
indicadores.append('Múltiples palabras clave de phishing')
self.results['indicadores_phishing'] = indicadores
return indicadores
except Exception as e:
logging.error(f"Error al buscar indicadores de phishing: {str(e)}")
return []
def calcular_riesgo(self) -> int:
"""
Calcula el nivel de riesgo del correo
Returns:
int: Nivel de riesgo (0-100)
"""
try:
riesgo = 0
# Riesgo por indicadores de phishing
riesgo += len(self.results['indicadores_phishing']) * 10
# Riesgo por URLs sospechosas
riesgo += sum(1 for url in self.results['urls'] if url['es_phishing']) * 15
# Riesgo por adjuntos sospechosos
riesgo += sum(1 for adjunto in self.results['adjuntos'] if adjunto['es_sospechoso']) * 20
# Riesgo por palabras clave
riesgo += len(self.results['contenido'].get('palabras_clave', [])) * 5
# Limitar riesgo a 100
riesgo = min(riesgo, 100)
self.results['riesgo'] = riesgo
return riesgo
except Exception as e:
logging.error(f"Error al calcular riesgo: {str(e)}")
return 0
def generar_reporte(self, output_file: str):
"""
Genera un reporte con los resultados del análisis
Args:
output_file (str): Ruta al archivo de salida
"""
try:
# Agregar metadatos al reporte
reporte = {
'fecha_analisis': datetime.now().isoformat(),
'correo_analizado': self.email_path,
'resultados': self.results
}
# Guardar reporte en JSON
with open(output_file + '.json', 'w') as f:
json.dump(reporte, f, indent=4)
# Guardar reporte en CSV
df = pd.DataFrame([{
'correo': reporte['correo_analizado'],
'fecha': reporte['fecha_analisis'],
'riesgo': reporte['resultados']['riesgo'],
'indicadores': len(reporte['resultados']['indicadores_phishing']),
'urls_sospechosas': sum(1 for url in reporte['resultados']['urls'] if url['es_phishing']),
'adjuntos_sospechosos': sum(1 for adjunto in reporte['resultados']['adjuntos'] if adjunto['es_sospechoso'])
}])
df.to_csv(output_file + '.csv', index=False)
logging.info(f"Reporte generado en {output_file}.json y {output_file}.csv")
except Exception as e:
logging.error(f"Error al generar reporte: {str(e)}")
def main():
parser = argparse.ArgumentParser(description='Analizador de Correos Electrónicos')
parser.add_argument('email', help='Ruta al archivo de correo')
parser.add_argument('--output', default='reporte_correo',
help='Ruta base para los archivos de salida')
args = parser.parse_args()
if not os.path.isfile(args.email):
logging.error(f"El archivo {args.email} no existe")
sys.exit(1)
analyzer = EmailAnalyzer(args.email)
# Cargar y analizar correo
msg = analyzer.cargar_correo()
if not msg:
sys.exit(1)
analyzer.analizar_headers(msg)
analyzer.analizar_contenido(msg)
analyzer.analizar_urls(analyzer.results['contenido']['urls'])
analyzer.analizar_adjuntos(msg)
analyzer.buscar_indicadores_phishing()
analyzer.calcular_riesgo()
# Generar reporte
analyzer.generar_reporte(args.output)
if __name__ == "__main__":
main()