JSR88431/phishing-email-incident-response-event93

# 钓鱼邮件调查 (Event ID 93) ## 概述 本项目记录了在 LetsDefend SOC 环境中进行的钓鱼邮件调查。此次警报涉及一个恶意的 Excel 4.0 宏附件，该附件被用于入侵主机系统。 ## 警报详情 - Event ID: 93 - 警报名称: Phishing Mail Detected – Excel 4.0 Macros - 严重程度: High ## 场景 报告了一封包含启用宏的附件的可疑邮件。调查重点是确定该邮件是否为恶意邮件，并确定其影响范围。 ## 调查步骤 1. 在 SOC 仪表板中查看了警报 2. 分析了发件人和邮件元数据 3. 提取并分析了附件 4. 使用 VirusTotal 检查了文件哈希 5. 调查了端点活动 6. 检查了网络连接 ## 关键发现 - 恶意 Excel 宏在主机上执行 - Excel 衍生出了 regsvr32 进程 - DLL 文件已在系统上注册 - 与可疑域名的出站连接 ## 妥协指标 (IoC) 参见：ioc/indicators.md ## MITRE ATT&CK 映射 - T1566 – Phishing - T1204 – User Execution - T1071 – Command and Control - T1547 – Persistence ## 结论 该警报被确认为导致系统沦陷的真实钓鱼攻击（true positive）。 ## 截图 请参阅 `screenshots/` 文件夹以获取完整的调查证据。

标签：DAST, DLL劫持, EDR分析, Excel宏病毒, IP 地址批量处理, LetsDefend, Regsvr32滥用, SOC分析, 威胁情报, 安全运营中心, 开发者工具, 恶意软件分析, 搜索语句（dork）, 真实攻击案例, 网络映射, 网络钓鱼调查, 蓝队演练, 钓鱼邮件检测, 高严重性告警