Lakunsin/SOC-Lab-Phishing-Investigation

# SOC-Lab-Phishing-调查 针对凭证窃取钓鱼攻击的技术分析与事件响应报告 ## 1. 执行摘要 检测到一起针对 sonyundefinedralph@tsacad.com 的外部钓鱼攻击活动。攻击者冒充 Microsoft Security Team 制造恐慌，诱骗收件人点击恶意链接。调查证实，该邮件源自西班牙一个被攻陷的第三方域名，并重定向至已知的恶意跳转地址。 状态：已解决 严重程度：高 类别：钓鱼/凭证窃取 ## 2. 检测与分析 A. 邮件 IOC | 工件 | 值 | 分析 | | :--- | :--- | :--- | | **标头: From** | `Microsoft Security Team ` | 显示名称被伪造；实际发件人域名为一家西班牙书店。 | | **链接** | `https[:]//tinyurl[.]com/ypu5kfts` | 使用 URL 缩短服务来绕过基本的链接过滤。  B. 行为 IOC • 社会工程学：攻击者利用紧迫感（"在24小时内"）和恐惧心理（"访问...可能受到限制"）来绕过用户的批判性思维。 • 通用问候语：使用 "Dear User" 而不是具体姓名，表明这是群发邮件。  C. 网络 IOC • 对 libreriacies.es 的 Whois 查询显示，该域名通过西班牙的 Siapi Networks 托管。由于该域名本身属于一家合法书店，很可能是一个合法账户被攻陷以发送此攻击活动。 • MXToolbox 显示 “未找到 DMARC 记录” 和 “未启用 DMARC 策略”，这允许未经授权的发件人以极小的阻力使用该域名。 • Checkshorturl 将短 URL (https[:]//tinyurl[.]com/ypu5kfts) 解析为 x-egamb.com。 Urlscan.io 将 x-egamb.com 识别为加密货币诈骗登录页面。     D. 账户暴露情况 在 Have I Been Pwned 上对收件人 sonyundefinedralph@tsacad.com 进行了搜索 • 该电子邮件未涉及任何已知的数据泄露；这表明该用户可能是通过群发邮件列表被列为目标的。  ## 3. 遏制 • 在边界防火墙阻断了发件人的 IP 地址 217.18.161.43（如 mxtoolbox 所示）。 • 将恶意域名 x-egamb.com 和 TinyURL 路径添加到组织的 DNS sinkhole 或 Web 过滤器中。 ## 4. 根除与恢复 • 从邮件服务器中删除此邮件的所有实例（搜索并清除），以防止其他用户点击该链接。 • 为任何与该链接有过交互的用户重置凭证。 • 监控被针对的电子邮件账户以排查： o 异常的登录模式 o 创建新的收件箱规则（攻击者通常使用这些规则来隐藏进一步的活动）。 ## 5. 事件后活动（经验教训） 根本原因： 利用配置不当的第三方域名来绕过垃圾邮件过滤器。 改进： 实施 Brand Protection 工具，在外部域名伪装成 "Microsoft Support" 时发出警报。 用户培训： 使用此特定模板进行模拟钓鱼演练，以培训员工识别不匹配的发件人地址和可疑链接。 ## 最终结论 分类：真阳性 该事件被确认为旨在窃取凭证的恶意钓鱼企图。 ## 📂 项目文件 * **[完整报告 (PDF)](./Phishing_Incident_Report.pdf)** - 详细的分析和补救步骤。 * **[证据截图](./Screenshots/)** - 来自 MXToolbox、WHOIS 和 urlscan.io 的原始截图。

标签：DMARC, ESC8, IT安全, URL缩短, 凭据收集, 域名欺骗, 威胁情报, 安全报告, 安全运营中心, 库, 应急响应, 开发者工具, 数字取证, 社会工程学, 网络安全, 网络映射, 网络犯罪, 自动化脚本, 邮件安全, 防御加固, 隐私保护