Oracleo/GRC-P3-Social-Engineering-Risk-Assessment

# 社会工程学风险评估与事件报告 | 电子邮件取证      **这是一份基于真实钓鱼邮件的结构化社会工程学风险评估与事件报告，涵盖了电子邮件标头分析、SPF/DKIM/DMARC 身份验证检查、IOC 提取、威胁情报富化，以及包含业务影响分析、控制建议和 ISO 27001/NIST CSF 映射的 GRC 级别事件报告。** ## 📋 目录 1. [GRC 相关性 —— 为什么要做这个项目](#-grc-relevance--why-this-project) 2. [事件摘要](#-incident-summary) 3. [评估方法论](#-assessment-methodology) 4. [技术分析](#-technical-analysis) 5. [威胁情报富化](#-threat-intelligence-enrichment) 6. [妥协指标](#-indicators-of-compromise) 7. [MITRE ATT&CK 映射](#-mitre-attck-mapping) 8. [事件分类与风险评级](#-incident-classification--risk-rating) 9. [风险登记条目与控制建议](#-risk-register-entry--control-recommendations) 10. [应用的 GRC 概念](#-grc-concepts-applied) 11. [截图索引](#-screenshots-index) 12. [仓库结构](#-repository-structure) ## 🎯 GRC 相关性 —— 为什么要做这个项目 社会工程学风险评估是 GRC（治理、风险与合规）的直接职责。针对人类目标的攻击是任何组织面临的最高频率、最高影响的风险向量之一 —— 而 GRC 职能部门拥有旨在预防、检测和应对这些攻击的控制措施。处理钓鱼事件的 GRC 分析师需要： - 评估导致电子邮件送达收件人的技术控制失效问题 - 评估组织的电子邮件身份验证状态（SPF、DKIM、DMARC） - 提取并记录 IOC，以便分发给安全基础设施 - 生成包含业务影响分析和风险分类的事件报告 - 提出映射到 ISO 27001 和 NIST CSF 的控制改进建议 - 在涉及伪造或被攻陷的外部域名时评估第三方风险 - 评估作为预防性控制的用户安全意识培训的充分性 本项目使用**真实的钓鱼邮件样本**端到端地模拟了该工作流程。该邮件经过了手动调查 —— 包括标头分析、身份验证验证、IOC 提取、通过 VirusTotal、AbuseIPDB 和 WHOIS 进行威胁情报富化 —— 并最终生成了一份完整的 GRC 事件报告。 **结果：确认该钓鱼邮件为预付费欺诈（Advance Fee Fraud，T1566）。识别出 SPF 失败、无 DKIM/DMARC、被攻陷的俄罗斯中继基础设施以及 Gmail 回复地址不匹配。事件被定级为中等严重程度。记录了完整的 IOC 集合。产出了控制差距分析与建议。** ## 📊 事件摘要 | 字段 | 详情 | |---|---| | **事件类型** | 钓鱼 —— 预付费欺诈（419 骗局） | | **攻击向量** | 电子邮件 | | **MITRE ATT&CK** | T1566 —— 钓鱼 / TA0001 —— 初始访问 | | **严重程度** | 🟡 中等 | | **状态** | ✅ 确认为恶意 | | **伪造发件人** | nemani.tukunia@postfiji.com.fj | | **攻击者回复地址** | mywoodforestbiz.7@gmail.com | | **发件人 IP** | 109.202.24.52（俄罗斯 —— JSC Avantel，ASN 25549） | | **中继域名** | 54upr.rosreestr.ru（被攻陷的俄罗斯政府域名） | | **SPF 结果** | ❌ 失败 | | **DKIM 结果** | ❌ 无 | | **DMARC 结果** | ❌ 无 | | **ISO 27001 控制** | A.6.3, A.5.24, A.5.6, A.8.16 | | **NIST CSF** | DE.CM-3, RS.AN-1, PR.AT-1, ID.RA-2 | ## 🔧 评估方法论 本次调查遵循了结构化的六阶段社会工程学风险评估方法论 —— 复刻了 GRC 分析师在审查上报的钓鱼事件时所应用的流程。 ``` Phase 1 — Evidence Preservation └─► Email acquired in .eml format to preserve complete header chain and message content for forensic integrity Phase 2 — Header Analysis & Authentication Verification └─► SPF, DKIM, DMARC results extracted and evaluated Routing path traced — sender IP and relay domain identified Phase 3 — IOC Extraction └─► Malicious indicators documented: sender IP, relay domain, reply-to address, spoofed domain Phase 4 — Threat Intelligence Enrichment └─► Each IOC submitted to VirusTotal, AbuseIPDB, WHOIS Infrastructure geolocation and ownership confirmed Phase 5 — Social Engineering Assessment └─► Content analysed for manipulation tactics, urgency creation, information requests, and fraud pattern classification Phase 6 — Incident Classification & GRC Documentation └─► Severity rated, MITRE ATT&CK mapped, control gaps identified Risk register entry and remediation recommendations produced ``` ## 📊 技术分析 ### 电子邮件标头分析 **原始邮件标头 —— 保留了完整的传输路径：**  完整的标头链记录了从源 IP 经过中继基础设施到收件人邮件服务器的传输路径 —— 为调查提供了取证证据基础。 ### 电子邮件身份验证结果 **SPF —— 失败：**  ``` spf=fail (sender IP is 109.202.24.52) ``` 发送 IP 地址 109.202.24.52 未被列为声称的发件人域名 `postfiji.com.fj` SPF 记录中的授权发件人。这一失败是确凿的证据，表明该电子邮件要么源自伪造的发件人基础设施，要么是通过未经授权的中继进行传输。 **DKIM —— 无：** 不存在 DKIM 签名。没有加密签名，就没有机制来验证传输过程中的消息来源或内容完整性。 **DMARC —— 无：** 发件人域名未发布 DMARC 策略。这取消了组织层面的电子邮件处理强制执行，意味着对于身份验证失败的情况，不存在自动拒绝或隔离的指令。 **身份验证摘要：** | 控制 | 结果 | GRC 影响 | |---|---|---| | SPF | ❌ 失败 | 发送 IP 未经授权 —— 域名被伪造或中继被攻陷 | | DKIM | ❌ 无 | 无加密的消息完整性验证 | | DMARC | ❌ 无 | 无组织层面的邮件策略强制执行 —— 控制差距 | 三种电子邮件身份验证控制全部缺失或失败。这构成了彻底的电子邮件身份验证控制失效 —— 无论是在发件人域名层面还是在收件组织的执行配置层面。 ### 标头分析摘要  **发件人信息：** | 字段 | 值 | 风险信号 | |---|---|---| | 显示的发件人 | nemani.tukunia@postfiji.com.fj | 冒充 Post Fiji —— 合法的国家邮政服务 | | 回复地址 | mywoodforestbiz.7@gmail.com | ⚠️ 重定向至免费电子邮件 —— 明确的钓鱼指标 | | 发件人 IP | 109.202.24.52 | 俄罗斯（JSC Avantel）—— 地理位置与声称的斐济不符 | | 中继域名 | 54upr.rosreestr.ru | 俄罗斯政府子域名 —— 可能已被攻陷 | **发件人/回复地址不匹配 —— GRC 重要性：** 回复地址标头将所有回复重定向到了一个 Gmail 地址，而不是声称的发件人域名。合法的组织通信会保持发件人和回复域名的一致性。这种不匹配是欺诈意图的明确指标，同时也表明存在第三方基础设施风险 —— 攻击者控制了回复渠道，而无需攻陷被伪造的域名。 ### 社会工程学内容评估 **主题：** `Attention: I am Diplomatic agent Mr.Wood Forest` **识别出的操纵策略：** | 策略 | 实施方式 | 分类 | |---|---|---| | 权威 | 冒充外交人员 | 社会工程学 —— 滥用权威 | | 贪婪 | 1050 万美元索赔 | 预付费欺诈诱因 | | 紧急性 | 要求立即采取行动以便交付 | 施压策略，旨在绕过理性评估 | | 信息收集 | 要求提供姓名、地址、电话、职业 | 收集 PII 用于身份盗用 / 定向欺诈 | **受害者遵从的风险：** 作出回复会提供足够的 PII，从而进行身份盗用、开设欺诈性账户，或对受害者的联系人发起定向钓鱼攻击 —— 将事件范围扩大到超出最初的钓鱼企图。 ## 🔍 威胁情报富化 ### VirusTotal —— IP 信誉  **IP 109.202.24.52 —— 0/93 家厂商检测** **GRC 分析 —— 假阴性的意义：** 尽管存在已确认的恶意活动，但零自动检测。这证明了 GRC 风险评估的一个关键原则：**自动信誉评分是一个滞后指标，而不是决定性的裁决。** 攻击者经常使用新建立的或不常被滥用的基础设施，这些基础设施尚未积累足够的报告来触发高可信度的自动拦截。 这是一个**假阴性** —— 尽管它是恶意的，但被自动电子邮件网关过滤作为干净邮件放行。这直接支持了关于纵深防御的 GRC 论点：将技术过滤、身份验证强制执行、用户意识培训和手动调查程序作为互补的控制措施进行分层，以弥补彼此的盲点。 ### AbuseIPDB 关联分析  | 字段 | 值 | |---|---| | 滥用报告 | 2 份历史报告 | | 置信度评分 | 0% | | ISP | JSC Avantel —— 新西伯利亚城域网 | | 主机名 | 54upr.rosreestr.ru | | ASN | AS25549 | 对 `54upr.rosreestr.ru` 的主机名解析证实了标头分析中识别出的中继基础设施。调查时的低置信度评分与不常被滥用的基础设施相符 —— 这是旨在专门规避基于信誉过滤的定向、低容量活动的常见特征。 ### WHOIS 域名调查  | 字段 | 值 | |---|---| | 域名 | rosreestr.ru | | 注册商 | RU-CENTER-RU | | 创建日期 | 2004年1月27日 | | 主要 IP | 217.77.104.132 | | 状态 | 活跃 —— 合法的俄罗斯政府域名 | **第三方风险评估：** `rosreestr.ru` 是俄罗斯联邦国家登记、地籍和制图局的合法域名。用于中继的子域名 `54upr.rosreestr.ru` 解析到的 IP（109.202.24.52）与父域名（217.77.104.132）不同 —— 这表明该子域名是专门为恶意中继配置的，原因可能是基础设施被攻陷或 DNS 被滥用。这是一种供应链 / 第三方基础设施风险：一个受信任的、建立已久的政府域名被滥用，以规避基于域名信誉的拦截。 ### 威胁情报综合分析 | IOC | 平台 | 结果 | 评估 | |---|---|---|---| | 109.202.24.52 | VirusTotal | 0/93 检测 | 假阴性 —— 尚未被标记 | | 109.202.24.52 | AbuseIPDB | 2 份报告，0% 置信度 | 低容量的滥用历史 | | 54upr.rosreestr.ru | WHOIS | 合法的政府域名 | 子域名可能已被攻陷 | | mywoodforestbiz.7@gmail.com | 手动检查 | 免费电子邮件提供商 | 攻击者控制的回复地址 | | postfiji.com.fj | SPF 检查 | SPF 失败 | 域名被伪造 | **综合结论：** 没有任何单一指标足以单独成立。SPF 失败 + 缺少 DKIM/DMARC + 俄罗斯基础设施 + 斐济发件人伪造 + Gmail 回复地址不匹配 + 预付费欺诈内容的组合 = 高置信度确认为钓鱼。当自动工具失效时，多信号关联是 GRC 事件评估的正确方法论。 ## 🚨 妥协指标  | IOC 类型 | 值 | 建议操作 | |---|---|---| | **发件人 IP** | 109.202.24.52 | 在电子邮件网关和边界防火墙中阻止 | | **中继域名** | 54upr.rosreestr | 在电子邮件网关中阻止该子域名 | | **回复地址** | mywoodforestbiz.7@gmail.com | 在电子邮件网关中阻止；添加到钓鱼黑名单中 | | **伪造域名** | postfiji.com.fj | 强制执行严格的入站 SPF 验证 | | **主题模式** | "Diplomatic agent" + 个人姓名 | 电子邮件网关内容规则 | | **身份验证模式** | SPF 失败 + 无 DKIM + 无 DMARC + 回复地址不匹配 | 自动隔离规则 | **IOC 分发：** 提交给组织 SIEM 用于告警，给电子邮件网关用于拦截规则，给端点安全用于监控，以及给安全团队用于提高意识。作为 ISO 27001 A.5.24 事件管理审计要求的证据保留。 ## 🎯 MITRE ATT&CK 映射 | 字段 | 详情 | |---|---| | **战术** | 初始访问 —— TA0001 | | **技术** | 钓鱼 —— T1566 | | **子技术** | T1566.003 —— 通过服务进行鱼叉式钓鱼（Gmail 作为攻击者控制的传递机制） | | **参考** | https://attack.mitre.org/techniques/T1566/ | **适用的 MITRE 缓解措施：** | ID | 缓解措施 | |---|---| | M1054 | 软件配置 —— 强制执行 DMARC 拒绝策略 | | M1017 | 用户培训 —— 了解预付费欺诈和身份验证失败指标 | | M1031 | 网络入侵防御 —— 电子邮件网关身份验证强制执行 | | M1049 | 防病毒/反恶意软件 —— 辅以基于身份验证的检测 | ## 🔐 事件分类与风险评级  **严重程度：🟡 中等** | 因素 | 评估 | |---|---| | 交付成功 | ✅ 到达收件箱 —— 现有控制措施失效 | | 社会工程学复杂度 | 🟡 中等 —— 权威 + 贪婪，看似合理的发件人冒充 | | 立即受害风险 | 🟢 较低 —— 初始消息中没有恶意链接或附件 | | 升级潜力 | 🟠 高 —— 受害者的回复会导致 PII 窃取和定向的后续行动 | | 身份验证控制失效 | 🔴 彻底失效 —— SPF/DKIM/DMARC 全部缺失或失败 | | 第三方风险 | 🟠 存在 —— 被攻陷的政府中继基础设施 | **确认为恶意** —— 尽管在 VirusTotal 上检测率为 0/93，但多信号手动分析以高置信度确认其为钓鱼。此案例说明了为什么自动化工具无法取代结构化的调查方法论。 ## 📋 风险登记条目与控制建议 ### 风险登记条目 | 字段 | 值 | |---|---| | **风险 ID** | RISK-SE-001 | | **资产** | 组织电子邮件系统 / 最终用户 | | **威胁** | 通过钓鱼进行的社会工程学 —— 外部攻击者 | | **脆弱性** | 缺乏电子邮件身份验证执行；用户对社会工程学的易感性 | | **可能性** | 高 —— 钓鱼是全球排名第一的初始访问向量 | | **影响** | 中等 —— 潜在的 PII 暴露、凭证窃取、身份欺诈升级 | | **固有风险** | 高 | | **当前控制** | 电子邮件网关过滤（不足 —— 未能检测到） | | **控制差距** | 无 DMARC 拒绝策略；SPF 失败无隔离动作；用户意识培训差距 | | **残余风险** | 中等 | | **ISO 27001** | A.6.3, A.5.24, A.5.6, A.8.16 | | **NIST CSF** | PR.AT-1, DE.CM-3, RS.AN-1, ID.RA-2 | ### 控制建议 **立即执行 —— DMARC 强制执行：** 对所有组织域名实施 DMARC `p=reject`。单单这一控制措施就能完全阻止这封电子邮件的投递。对 SPF 失败的情况强制执行 SPF 隔离或拒绝操作。配置电子邮件网关，隔离涉及免费电子邮件提供商的、发件人/回复域名不匹配的邮件。立即阻止所有已识别的 IOC。 映射到 ISO 27001 A.8.16 和 NIST CSF DE.CM-3。 **短期目标 —— 身份验证强化：** 审核所有拥有域名的 SPF、DKIM 和 DMARC 记录。对所有出站邮件实施 DKIM 签名。在监控期确认不会影响合法邮件后，将 DMARC 推进至 `p=reject`。配置电子邮件网关关联规则，隔离同时呈现多个弱信号的消息 —— SPF 失败 + 无 DKIM + 回复地址不匹配 —— 即使单个置信度评分较低也是如此。 映射到 ISO 27001 A.5.6 和 A.8.16。 **中期目标 —— 用户意识：** 更新安全意识培训，涵盖预付费欺诈模式、身份验证失败识别、发件人/回复地址不匹配发现以及钓鱼报告程序。使用此模式进行模拟钓鱼演练。将报告率作为 GRC 的关键绩效指标（KPI）进行追踪。 映射到 ISO 27001 A.6.3 和 NIST CSF PR.AT-1。 **持续进行 —— 威胁情报：** 实施关联多个弱指标而不是依赖于单一高置信度拦截的威胁情报源。整合与行业相关的 ISAC 进行 IOC 共享。保留所有调查记录作为 ISO 27001 A.5.24 事件管理的证据。 映射到 NIST CSF ID.RA-2。 ## 📚 应用的 GRC 概念 | 概念 | 在本项目中的应用 | |---|---| | 社会工程学风险评估 | 从技术、内容和基础设施维度对实时钓鱼邮件进行评估 | | 第三方风险 | 将被攻陷的政府中继域名作为供应链风险向量进行评估 | | 电子邮件身份验证控制评估 | 评估了 SPF、DKIM、DMARC —— 记录了彻底的控制失效 | | IOC 提取与文档化 | 为安全基础设施分发制作了结构化的 IOC 集合 | | 威胁情报富化 | 关联了 VirusTotal、AbuseIPDB、WHOIS —— 识别出假阴性场景 | | 假阴性分析 | 尽管确认为恶意但检测率为 0/93 —— 证明了自动化工具的局限性 | | 事件分类 | 应用了多因素严重程度评级框架 | | 风险登记条目 | 以 GRC 风险登记格式制作了 RISK-SE-001 | | 业务影响分析 | 评估了 PII 暴露、身份盗用、凭证收集升级路径 | | ISO 27001 映射 | 将 A.6.3、A.5.24、A.5.6、A.8.16 映射到发现和建议 | | NIST CSF 映射 | 将 PR.AT-1、DE.CM-3、RS.AN-1、ID.RA-2 映射到控制差距 | | MITRE ATT&CK 映射 | T1566 / TA0001 以及子技术 T1566.003 | | 纵深防御原理 | 记录了技术 + 身份验证 + 意识 + 威胁情报控制 | ### 基于本项目需要准备的关键问题 **问：钓鱼调查如何反馈到 GRC 风险登记册中？** 该事件成为一个风险条目 —— 资产是电子邮件系统和最终用户，威胁是社会工程学，脆弱性是缺乏身份验证控制和用户的易感性。调查为可能性和影响评分提供了证据基础。控制建议成为在登记册中分配了所有者和时间表的处理行动。 **问：什么是 DMARC，为什么它对 GRC 很重要？** DMARC 是一条 DNS 策略记录，指示接收邮件服务器隔离或拒绝未通过 SPF 或 DKIM 验证的邮件。用 GRC 的术语来说，它是 ISO 27001 A.8.26 下的预防性控制。缺失或宽松的 DMARC 策略是审计员会标记的控制差距。`p=reject` 策略本可以完全阻止这封邮件进入收件人的收件箱。 **问：尽管身份验证彻底失败，为什么这被归类为中等严重程度？** 严重程度是可能性乘以影响。身份验证失效代表了一种控制差距 —— 但直接危害需要受害者的主动参与。不存在可执行的有效载荷、恶意 URL 或凭证收集表单。如果该电子邮件包含恶意附件或链接，分类将立即升级为高严重或严重级别。 **问：VirusTotal 零检测结果对 GRC 意味着什么？** 它表明自动化工具作为唯一的控制手段是不够的 —— 这是一个通过结构化调查手动解决的假阴性。从 GRC 的角度来看，这是纵深防御的商业案例：分层实施身份验证强制执行、内容分析、用户培训和调查程序，以便任何单一控制的失效不会导致未被检测到的攻陷。 **问：第三方风险在这里如何适用？** 被攻陷的中继域名 `rosreestr.ru` 是一个合法的政府实体，其基础设施被滥用于钓鱼中继。这说明攻击者专门利用受信任的第三方基础设施来规避域名信誉控制。它支持在第三方风险评估问卷中包含电子邮件中继滥用场景，并独立于其父域名信誉来评估子域名。 ## 📸 截图索引 | # | 文件名 | 描述 | |---|---|---| | 01 | GRC3-01-email-header.png | 原始邮件标头 —— 完整的路由路径 | | 02 | GRC3-02-spf-fail.png | SPF 身份验证失败详情 | | 03 | GRC3-03-header-analysis.png | 结构化的标头分析摘要 | | 04 | GRC3-04-ioc-list.png | 提取的 IOC 集合 —— 全部四个指标 | | 05 | GRC3-05-virustotal-ip.png | VirusTotal —— 0/93 检测（假阴性） | | 06 | GRC3-06-abuseipdb.png | AbuseIPDB —— 2 份报告，0% 置信度 | | 07 | GRC3-07-whois-domain.png | WHOIS —— rosreestr.ru 注册详情 | | 08 | GRC3-08-incident-classification.png | 最终的事件分类文档 | ## 📁 仓库结构 ``` GRC3-Social-Engineering-Risk-Assessment/ │ ├── README.md ← Complete assessment documentation ├── incident-report.md ← Formal GRC incident report ├── header-analysis.txt ← Email header analysis summary ├── ioc.txt ← Extracted indicators of compromise ├── threat-intel.txt ← Threat intelligence enrichment findings ├── incident-classification.txt ← Final incident classification ├── phishing_sample.eml ← Original email sample (preserved) │ └── screenshots/ ← 8 annotated evidence screenshots ├── GRC3-01-email-header.png ├── GRC3-02 through GRC3-08 ... ``` ## ⚖️ 免责声明

标签：Object Callbacks, 合规审计 (GRC), 威胁情报, 开发者工具, 社会工程学评估, 网络钓鱼, 邮件取证