Paulcyber06/E1-Phishing-Proton-Brand-Impersonation

# 第 1 集 — Phishing：冒充 Proton 品牌 ## 📚 目录 * [1. 背景](#1-contexte) * [2. 初步观察](#2-observation-initiale) * [3. 邮件内容分析](#3-analyse-du-contenu-de-lemail) * [4. 恶意链接分析](#4-analyse-du-lien-malveillant) * [5. 邮件头分析](#5-analyse-des-en-têtes-de-lemail) * [6. SPF / DKIM / DMARC 详解](#6-spf--dkim--dmarc-expliqués) * [7. 基础设施路径](#7-chemin-dinfrastructure) * [8. 妥协指标 (IOC)](#8-indicateurs-de-compromission-ioc) * [9. SOC 结论](#9-verdict-soc) * [10. SOC 应急响应](#10-réponse-opérationnelle-soc) ## 1. 背景 **Buttercup Games** 是一家位于日内瓦的电子游戏公司，该公司的一名员工报告在其 Proton 邮箱中收到了一封可疑邮件。攻击者了解到该公司在没有使用自定义域名的情况下使用了 Proton Mail for business 平台，于是冒充其身份，试图窃取员工的凭据 (credentials)。 此次尝试失败了——该员工没有点击链接。该邮件被转发至 SOC 进行分析。 此事件是**针对 Buttercup Games 的一系列攻击的起点**。在随后的调查中发现了同一个恶意攻击者。 邮件内容声称： 收件人被邀请点击一个按钮，名为： ``` Security Portal ``` 然而，我们可以看到 Proton 立即显示了一条警告： 这意味着**发件人域名的身份验证失败**——这是一个明显的危险信号。 ## 2. 初步观察 打开邮件时，有几个细节立刻引起了注意。  ### 可见信号 | 信号 | 细节 | | --- | --- | | 复制的 Proton 视觉标识 | 模仿了 Logo 和布局 | | 虚假安全警告 | "A new app has access to your email data" (一个新应用访问了您的电子邮件数据) | | 单一操作按钮 | "Security Portal" —— 营造紧迫感 | | Proton 身份验证警告 | 显示在邮件顶部 | ## 3. 邮件内容分析 邮件包含： * Proton Logo * 安全警告信息 * "Security Portal" 操作按钮 **邮件主题：** ``` New App Have Access To Your Mail Data ``` ### 危险信号 #### ❌ 语法错误 主题中包含一个语法错误（使用了 *"Have"* 而不是 *"Has"*）。 Proton 官方邮件在发送前都会经过系统性的校对。 #### ❌ 没有技术细节 一封真正的 Proton 安全邮件会包含： * 登录时间 * 设备名称 * 地理位置 * 相关应用程序名称 **这些元素均不存在。** #### ❌ 唯一的行动呼吁 用户被催促立即点击。 这是**Phishing 的典型特征**。 ## 4. 恶意链接分析 检查按钮的 HTML 源代码： ``` Security Portal ```  该链接指向： ``` vercel[.]app ``` ### 安全性解读 该链接极有可能重定向至： * 虚假登录页面 * Phishing 门户网站 * 凭据收集网站 这是一个**关键的妥协指标**。 ## 5. 邮件头分析 邮件头可以用来识别邮件的**真实来源**，而不仅仅依赖于向收件人显示的内容。   关键字段： ``` From: Mailbox Return-Path: ``` 该邮件**声称**来自 `anyde[.]com`。 但身份验证结果却讲述了另一个故事。我们可以看到该邮件是由攻击者的域名签名的，即：bttlazer[.]org ## 6. SPF / DKIM / DMARC 详解 这三种协议用于验证电子邮件发件人的真实性。 ### SPF (Sender Policy Framework) **观察到的结果：** ``` spf=fail ``` SPF 用于检查发送邮件的服务器是否**有权代表该域发送邮件**。 ### DMARC (Domain-based Message Authentication) **观察到的结果：** ``` dmarc=fail ``` DMARC 用于检查可见发件人地址与实际身份验证结果之间的**一致性**。 ### DKIM (DomainKeys Identified Mail) **观察到的结果：** ``` dkim=pass header[.]d=bttlazer[.]org ``` 该邮件已**签名**，但是由 `bttlazer[.]org` 签名——而不是 `anyde[.]com`。 这是一个微妙但重要的区别——仅凭 DKIM 通过并**不意味着**该邮件是合法的。如今，Phishing 攻击变得越来越复杂，有时第一眼很难辨别出这是恶意企图，因为它们制作得非常精良。 此外，不应仅仅依赖 DKIM 或 SPF 的有效性，因为攻击者可以轻松注册一个域名，从而绕过这些检查。 ## 7. 基础设施路径 `Received` 头显示了邮件在服务器之间的**实际传输路径**。 ``` Received: from [47[.]41[.]36[.]219] (helo=mail[.]bttlazer[.]org) by ironfist[.]servidorpt[.]pt ``` 接着是： ``` Received: from ironfist[.]servidorpt[.]pt by XXX@protonmail[.]ch ``` ### 简化流程 ``` Hôte attaquant [47[.]41[.]36[.]219] ↓ mail[.]bttlazer[.]org ↓ ironfist[.]servidorpt[.]pt ↓ Proton ``` ## 8. 妥协指标 (IOC) ### 域名 ``` anyde[.]com bttlazer[.]org mail[.]bttlazer[.]org ironfist[.]servidorpt[.]pt mailbox[-]rsl[-]recovery[-]mprtc[.]vercel[.]app ``` ### IP 地址 ``` 47[.]41[.]36[.]219 185[.]32[.]188[.]7 ``` ### 身份验证结果 ``` SPF: fail DMARC: fail DKIM: pass (mais signé par le domaine de l'attaquant : bttlazer[.]org) ``` ### 攻击技术 ``` Usurpation de marque (Brand Impersonation) Phishing de credentials ``` ## 9. SOC 结论 | 指标 | 结论 | | --- | --- | | 发件人域名 | `anyde[.]com` —— 非 Proton | | SPF | ❌ 失败 | | DMARC | ❌ 失败 | | DKIM | ⚠️ 通过，但由 `bttlazer[.]org`（攻击者域名）签名 | | 链接目的地 | `vercel[.]app` —— 非 Proton | | 垃圾邮件分数 | 101（被标记为垃圾邮件） | | Proton 警告 | 显示了身份验证失败警告 | **可能的目标：** ## 10. SOC 应急响应 在企业环境中，SOC 团队的响应步骤如下： ### 📥 收集 * 将原始邮件保存为 `.eml` 格式 * 导出完整的邮件头 ### 🔍 提取 IOC * 提取所有域名、IP 地址和 URL * 将 IOC 提交到威胁情报平台（VirusTotal、AbuseIPDB 等） ### 🚧 遏制 * 在电子邮件网关层面阻止相关域名 * 在防火墙层面阻止相关 IP * 更新邮件过滤规则 ### 🚨 如果有用户点击了链接 * 强制重置密码 * 撤销所有活动会话 * 启用或加强 MFA * 分析身份验证日志以检测任何可疑活动 ## 📁 复现此分析 本文分析的邮件是在个人邮箱中检测到的真实 Phishing 案例。 出于隐私原因，未提供原始文件。 *© Paulcyber06 — 保留所有权利。*

标签：Buttercup Games, ESC8, ProtonMail, SOC分析, SPF/DKIM/DMARC, 初始访问, 品牌仿冒, 失陷指标, 威胁分析, 安全报告, 安全运营中心, 恶意链接分析, 法语, 电子邮件安全, 社会工程学, 网络安全, 网络映射, 自动化侦查工具, 邮件头分析, 隐私保护