althafmohammed1818-crypto/Phishing-Investigation-
GitHub: althafmohammed1818-crypto/Phishing-Investigation-
一份详尽的SOC实验室钓鱼邮件调查实战记录,提供了从邮件头分析、恶意载荷提取到威胁情报关联的标准化蓝队工作流参考。
Stars: 0 | Forks: 0
# 🧠 钓鱼邮件调查 — SOC 分析师实验
## 📋 项目概述
本仓库记录了在 SOC 实验室环境中执行的一次**钓鱼邮件调查**。
目标是分析一封可疑电子邮件,解码其载荷,提取入侵指标,并将发现的结果与威胁情报平台进行关联。
## 🛡️ 调查工作流
Blue Team Labs Online 挑战:The Planet's Prestige https://blueteamlabs.online/home/challenge/the-planets-prestige-e5beb8e545
### 步骤 1:初始分诊
- 保存了可疑的 `.eml` 文件以确保证据完整性。
- 通过在实验室环境中隔离该电子邮件来确保安全处理。
### 步骤 2:邮件头分析
- 检查了 `From`、`Return‑Path` 和 `Received` 字段。
- 检查了 SPF/DKIM/DMARC 结果 → IP `93.99.104.210` 的 SPF 验证失败。
- 工具:**MXToolbox**、**AbuseIPDB**。
### 步骤 3:正文与内容审查
- 提取并解码了混淆的 URL(Base64、十六进制、Punycode)。
- 识别出勒索风格的字条,要求支付“1 Billion CoCans🧃”。
- 保存了可疑附件以进行受控分析。
### 步骤 4:载荷与文件签名验证
- 检测到 ZIP 压缩包签名(`UEsDB`)。
- 工具:**Hexdump**、**CyberChef**、**VirusTotal**。
- 发现:压缩包中包含伪装文件。
### 步骤 5:压缩包内容分析
解压后的压缩包显示:
- 工具:**unzip**、**file**、**ExifTool**。
- 发现:嵌入的元数据提供了攻击者的线索。
### 步骤 6:元数据提取
- `GoodJobMajor.pdf` 的作者为 *Pestero Negeja*。
- `DaughtersCrown.jpg` 已清理(无 GPS 数据)。
- 工具:**ExifTool**、**strings**、**binwalk**。
### 步骤 7:威胁情报关联
- IP `64.190.63.222` → **SEDO GmbH**,德国(在 AbuseIPDB 上有 104 份报告)。
- 域名 `pashter.com` 在 VirusTotal 上被标记为恶意(1/91 个厂商)。
- 工具:**AbuseIPDB**、**VirusTotal**、**WHOIS**。
### 步骤 8:日志关联(SOC 上下文)
- 在 SIEM 中查询了相关活动:
- 发往被标记域名的外部流量。
- 同一钓鱼邮件的多个收件人。
- 附件执行的终端痕迹。
- 工具:**Splunk SPL queries**、**ELK dashboards**。
### 步骤 9:影响评估
- 确定用户是否点击了链接或打开了附件。
- 检查了终端日志中的执行痕迹。
## 🧾 入侵指标
| 类型 | 指标 | 来源 |
|------------|------------------|---------------------|
| IP 地址 | 93.99.104.210 | 电子邮件头 |
| IP 地址 | 64.190.63.222 | AbuseIPDB |
| 域名 | pashter.com | VirusTotal |
| 文件哈希 | SHA256 (zip) | 本地分析 |
| 作者 | Pestero Negeja | PDF 元数据 |
## 🧠 经验教训
- SPF/DKIM 验证对于钓鱼邮件的早期检测至关重要。
- 编码后的载荷通常会隐藏多阶段的诱饵。
- 元数据关联有助于追踪攻击者的基础设施。
- 结合使用 **CyberChef**、**Splunk** 和 **AbuseIPDB** 可构建可重复的 SOC 工作流。
## 🧰 工具与环境
| 类别 | 工具 |
|------------|-------|
| 操作系统 | Kali Linux (VirtualBox) |
| 分析 | CyberChef, ExifTool, VirusTotal, AbuseIPDB |
| 解码 | Base64, Hexdump |
| 文档 | Markdown, GitHub README |
| 威胁情报 | WHOIS, MXToolbox, |
标签:CTF挑战, DAST, DNS 反向解析, Go语言工具, IOC提取, IP 地址批量处理, SOC实验室, SPF/DKIM/DMARC, 威胁情报, 安全分析师培训, 密码管理, 库, 应急响应, 应用安全, 开发者工具, 恶意软件分析, 数字取证, 网络安全, 自动化脚本, 载荷分析, 邮件头分析, 钓鱼邮件分析, 隐私保护