tarunbharathe/Phishing-Analysis-DFIR-Lab

# 网络钓鱼取证与事件响应实验室 ## 现代网络钓鱼载体技术分析（Quishing 与恶意宏） ### 项目目标 本实验室记录了两种复杂网络钓鱼攻击生命周期的端到端调查过程。目标是模拟一级/二级 SOC 分析师的工作流程：分流警报、在 SIEM 中关联日志、执行基于主机的取证，以及通过网络隔离消除威胁。 ### 技术栈 * **SIEM/日志管理：** Sysmon（事件 ID 1、3、22），Windows 事件日志。 * **终端安全：** EDR 模拟（进程树分析，主机隔离）。 * **威胁情报：** VirusTotal，AbuseIPDB，IPFS 网关分析。 * **取证工具：** ZXing（QR 解码），CyberChef。 ### 案例研究 #1：SOC251 - Quishing（二维码钓鱼） **场景：** 一名员工收到一封关于“强制 MFA 更新”的高紧急度电子邮件。 * **关键发现：** * **规避：** 攻击者利用二维码将恶意 URL 隐藏在标准电子邮件网关扫描器之外。 * **基础设施：** 二维码解析到一个去中心化的 **IPFS（星际文件系统）** 网关（`ipfs.io`），利用合法域名的信誉来绕过过滤器。 * **结果：** **真阳性。** 在凭据收割前被拦截。 * **[截图位于 /Case-01-Quishing]** ### 案例研究 #2：SOC205 - 恶意宏执行 **场景：** 一份可疑的“发票”文档在财务部门的工作站上被执行。 * **关键发现：** * **感染链：** 恶意 `.docm` 文件利用 VBA 宏生成 `powershell.exe`。 * **C2 通信：** 分析 **Sysmon 事件 ID 22（DNS 查询）** 以识别对恶意命令与控制（C2）域名的回调：`www.greyhathacker.net`。 * **结果：** **真阳性。** 通过网络隔离消除了感染。 * **[截图位于 /Case-02-Macros]** ### 全局缓解策略 基于这些调查，提出了以下“纵深防御”控制措施： 1. **ASR 规则：** 实施攻击面减少规则，以阻止 Office 应用程序创建子进程。 2. **DNS 过滤：** 阻止已知的去中心化存储网关（IPFS.io），除非业务需要。 3. **用户意识：** 针对“Quishing”（二维码钓鱼）和移动载体攻击的风险进行针对性培训。 **分析师：** [Tarun Bharathe] **环境：** LetsDefend SOC 模拟

标签：AbuseIPDB, Ask搜索, C2通信, CyberChef, EDR, IPFS, IPv6, IP 地址批量处理, OpenCanary, PowerShell, Quishing, SOC分析, Sysmon, VBA宏, VirusTotal, Windows日志, ZXing, 主机隔离, 事件分流, 二维码钓鱼, 命令与控制, 威胁情报, 库, 应急响应, 开发者工具, 恶意宏, 搜索语句（dork）, 日志关联, 案例分析, 知识库安全, 终端取证, 网络安全, 网络隔离, 脆弱性评估, 进程树分析, 隐私保护