mirzatwork/Phishing-email-incident-response-

# 钓鱼邮件应急响应 SOC 对一起投递恶意可执行文件附件的钓鱼邮件的调查。该项目演示了警报分类、恶意软件哈希验证和事件升级工作流。 # SOC 钓鱼与恶意软件事件调查 ## 概述 该项目记录了一起针对提示潜在恶意软件下载的钓鱼邮件警报的调查过程。该警报源自受监控的邮件服务器，表明用户可能打开了恶意电子邮件并执行了附件。 本次调查的目的是分析警报详情，识别钓鱼指标，验证恶意文件哈希，并确定适当的升级程序。 ## 警报工单信息 | 字段 | 值 | |------|------| | 工单 ID | A-2703 | | 警报来源 | SERVER-MAIL | | 警报类型 | 钓鱼攻击 / 疑似恶意软件下载 | | 严重级别 | 中 | | 工单状态 | 已升级 | 警报指出，用户可能打开了恶意电子邮件并与附件或链接进行了交互。 ## 工单备注 调查揭示了与该电子邮件及附件相关的几个可疑指标。 - 文件包含恶意链接，将用户重定向到外部网站。 - 文件在员工计算机上执行了恶意代码。 - 电子邮件包含语法错误，这是钓鱼攻击的常见指标。 - 电子邮件的主题和正文包含多处拼写和语法错误。 - 电子邮件包含名为 **bfsvc.exe** 的受密码保护的附件。 该附件已在受影响的机器上被下载并打开。在对文件哈希进行调查后，确认其为**已知恶意文件**。 基于这些发现及警报的严重级别，该事件被升级给 **Level 2 SOC 分析师** 以进行进一步的调查和响应。 ## 电子邮件信息 **发件人** IP: 114.114.114.114 **收件人** IP: 176.157.125.93 **日期** 2022年7月20日，星期三，上午 09:30:14 ## **主题** 回复：基础设施工程师（Egnieer）职位 ## 可疑电子邮件内容 电子邮件摘录示例： 该消息包含多个钓鱼指标，包括语法错误和可疑的受密码保护的附件。 ## 恶意附件 文件名：bfsvc.exe 该附件已在员工的系统上被下载并打开。 经过调查，确认该文件哈希与已知恶意文件相匹配。 **SHA256 哈希** 54e6ea47eb04634d3e87fd7787e2136ccfbcc80ade34f246a12cf93bab527f6b ## 失陷指标 (IOCs) | 指标类型 | 值 | |---------------|------| | 文件名 | bfsvc.exe | | SHA256 哈希 | 54e6ea47eb04634d3e87fd7787e2136ccfbcc80ade34f246a12cf93bab527f6b | | 发件人 IP | 114.114.114.114 | | 收件人 IP | 176.157.125.93 | 这些指标可用于在安全监控工具（如 SIEM 或端点保护系统）中检测类似的恶意活动。

标签：IT安全, L2分析师, 事件升级, 二进制分析, 云安全运维, 企业安全, 威胁情报, 子域枚举, 安全告警研判, 安全运营, 安全运营中心, 库, 应急响应, 开发者工具, 恶意哈希验证, 恶意软件, 恶意附件, 扫描框架, 网络安全, 网络安全案例, 网络安全防御, 网络攻击调查, 网络映射, 网络资产管理, 警报分类, 防御加固, 隐私保护