NourKhalil0/phishing-analysis

# 钓鱼分析 对一个真实钓鱼攻击活动的全面威胁情报分析，采用 SOC 分析师和威胁情报团队使用的格式撰写。包括基础设施映射、IOC 提取、MITRE ATT&CK 映射和 SOC 封锁建议。 ## 攻击活动概述  | 字段 | 详情 | |-------|--------| | 攻击活动名称 | FakeMicrosoft-O365-Harvest | | 类型 | 通过伪造 Microsoft 365 登录进行凭据收集 | | 目标行业 | SMB 和企业电子邮件用户 | | 发现来源 | URLscan.io 公开扫描 + PhishTank 提交 | | 分析日期 | 2025-09-24 | | 置信度 | 高 | | TLP | TLP:WHITE（可公开共享） | ## 报告 完整分析请参阅 [report/intel-report.md](report/intel-report.md) ## IOC 所有提取的指标位于 [iocs/indicators.csv](iocs/indicators.csv) — 可直接导入 MISP、Sentinel 或您的 SIEM。 ## 项目结构 ``` phishing-analysis/ README.md report/ intel-report.md - full written analysis iocs/ indicators.csv - all IOCs in structured format blocklist.txt - domains and IPs for firewall/proxy blocking tools/ extract-iocs.py - script to pull IOCs from a URL using urlscan API misp-import.py - script to push IOCs into MISP docs/ infrastructure.svg - campaign infrastructure diagram ``` ## ATT&CK 覆盖范围 | ATT&CK ID | 技术 | |-----------|-----------| | T1566.002 | 钓鱼：鱼叉式钓鱼链接 | | T1078 | 有效账户（凭据收集后利用） | | T1556 | 修改身份验证过程 | | T1583.001 | 获取基础设施：域名 | | T1071.001 | 应用层协议：Web 协议 | ## 分析中使用的工具 - URLscan.io - https://urlscan.io - VirusTotal - https://virustotal.com - AbuseIPDB - https://abuseipdb.com - Shodan - https://shodan.io - MISP - https://misp-project.org - PhishTank - https://phishtank.org - MXToolbox - https://mxtoolbox.com

标签：AbuseIPDB, Ask搜索, Cloudflare, MITRE ATT&CK, PhishTank, SOC建议, URLscan, VirusTotal, 凭据收集, 基础设施测绘, 威胁情报, 威胁指标, 安全报告, 安全运营中心, 开发者工具, 微软365钓鱼, 数字取证, 网络威胁情报, 网络安全, 网络映射, 自动化脚本, 逆向工具, 钓鱼攻击分析, 防火墙黑名单, 隐私保护, 鱼叉式钓鱼