Orfalii/simulated-email-phishing-detection-and-analysis

# SOC Labs – Raphael Orfali ## 实验 2 – 钓鱼邮件分诊 ### 场景 本实验模拟了一名内部用户报告的可疑邮件，该邮件伪装成紧急账单并要求立即采取行动。 目标是执行邮件的初步分诊，分析发件人、域名、链接和邮件头，识别入侵指标并分类该事件。 ### 目标 判断所分析的邮件是合法的还是恶意的，基于技术证据证明结论，并记录建议的遏制措施。 ### 主要发现 - 发件人使用可疑域名，试图仿冒知名品牌 - 使用紧急催收的语言，诱导立即点击 - 链接指向与所谓发件方无关的域名 - `Return-Path`、`Reply-To` 和邮件来源存在不一致 - 证据表明其为旨在窃取凭据的钓鱼攻击 ### 事件摘要 严重性：高 状态：已确认 类别：钓鱼 主要 IOC：`portal-faturas-support.com` 受影响用户：`financeiro@empresa.local` ### 调查流程 1. 审查邮件内容及用于向受害者施压的叙述。 2. 验证发件人域名及发送的链接。 3. 分析邮件头，识别来源的不一致之处。 4. 提取相关 IOC 以便封堵和威胁狩猎。 5. 对事件进行分类并确定后续紧急措施。 ### 建议措施 - 在代理、防火墙和 secure email gateway 中屏蔽该恶意域名。 - 封堵该活动中使用的 URL。 - 核查是否存在点击或提交凭据的行为。 - 通知受影响用户，若有交互行为则指导其更改密码。 - 在其他邮箱中执行搜索，排查类似邮件。 ## 证据 分析的工件： - [email.txt](email.txt) - [email-headers.txt](email-headers.txt) - [incident-report.md](incident-report.md) ### 展现的技能 - 可疑邮件的初步分诊 - 邮件头分析 - IOC 识别 - 可疑域名和 URL 分析 - 基于证据的钓鱼分类 - 制定初步遏制方案 ## 备注 本实验代表了一个模拟场景，旨在用于钓鱼邮件分诊和事件初步分析的学习和实践。

标签：BOF, DAST, Object Callbacks, SOC实验室, 凭证收集, 妥协指标, 威胁情报, 安全实验室, 安全运营中心, 库, 应急响应, 开发者工具, 恶意软件分析, 欺骗防御, 演练场景, 网络安全, 网络映射, 网络钓鱼, 邮件分类, 邮件头分析, 邮箱安全, 钓鱼邮件分析, 防御加固, 隐私保护