WiLL75G/soc-day14-threat-intelligence-osint
GitHub: WiLL75G/soc-day14-threat-intelligence-osint
一份 SOC Tier 1 威胁情报调查实战记录,完整演示了利用多平台 OSINT 工具对钓鱼活动 IOC 进行收集、关联和归因分析的全流程方法论。
Stars: 1 | Forks: 0
# 第 14 天 – SOC Tier 1 事件报告:威胁情报与 OSINT 调查
## 事件摘要
- **事件类型:** 钓鱼活动调查 多 IOC 威胁情报分析
- **严重程度:** 高(所有 IOC 均被确认为恶意,属于活跃的活动基础设施)
- **检测方法:** 多平台 OSINT 关联 + 电子邮件标头取证
- **使用工具:** VirusTotal、AbuseIPDB、MXToolbox、Whois(Kali 终端)
- **状态:** 调查完成,已提交完整 IOC 报告
## 执行摘要
针对在模拟 SOC 告警期间标记的三个 IOC 进行了威胁情报调查。可疑 IP 地址 `185.220.101.45` 被识别为 Tor 出口节点,在 AbuseIPDB 上的滥用置信度为 100%,共有 6,607 份报告。域名 `secure-login-verify.com` 在 VirusTotal 上被确认为恶意,检测比例为 8/92。
电子邮件标头分析暴露了伪造的 PayPal 发件人、作为发送 IP 的同一个 Tor 出口节点,以及不匹配的 Reply-To 地址——证实所有三个 IOC 都与同一次协同钓鱼活动有关联。完整的归因、基础设施映射和修复指南记录如下。
## 受影响系统
- **调查范围:** 多 IOC 钓鱼活动分类
- **IOC 数量:** 3 个(1 个 IP,1 个域名,1 个电子邮件样本)
- **数据来源:**
- VirusTotal(多引擎信誉查询)
- AbuseIPDB(社区滥用报告)
- MXToolbox(电子邮件标头和黑名单分析)
- Whois(基础设施所有权和注册数据)
## 调查方法论
### 1. 威胁情报平台启动
- 初始化 VirusTotal 作为主要的多引擎信誉平台
- 确认平台可访问性及查询就绪状态
- 建立了 IOC 分类工作流的 OSINT 入口点
### SOC 观察:
- VirusTotal 聚合了 90 多个引擎,使其成为 IOC 分类的标准首选
- 初始查询后必须始终进行多平台佐证
- OSINT 调查从信誉开始,然后扩展到基础设施
### 2. IOC 1 可疑 IP:VirusTotal 初始查询
- 向 VirusTotal 提交了 IP `185.220.101.45`
- 检出率:**16/92 个引擎将该 IP 标记为恶意**
- 分类:钓鱼基础设施
### SOC 观察:
- IP 信誉命中数超过 10/90 即需要立即升级处理
- 多引擎共识是高置信度的恶意指标
- 分类(钓鱼)直接为调查假设提供依据
### 3. IOC 1 可疑 IP:VirusTotal 详细分析
- 审查了 VirusTotal 社区评论、相关样本和被动 DNS 历史
- 识别了相关联的恶意文件和域名
- 捕获了首次出现和最后出现的时间戳
### SOC 观察:
- 被动 DNS 历史揭示了用于枢纽分析的额外 IOC
- 相关恶意软件样本证实了基础设施的重复使用
- 时间戳用于判断威胁是活跃的还是历史性的
### 4. IOC 1 AbuseIPDB 交叉验证(第 1 部分)
- 在 AbuseIPDB 上对 IP 进行了交叉验证
- **滥用置信度:100%**
- **总报告数:来自 607 个不同来源的 6,607 份报告**
### SOC 观察:
- 100% 的滥用置信度加上数千份报告是明确的归因
- 不同的报告来源排除了单一报告者的误报
- 这是企业级的 IOC 验证,可直接付诸行动
### 5. IOC 1 AbuseIPDB 交叉验证(第 2 部分)
- 审查了详细的滥用历史和分类明细
- 捕获了最新的报告时间线——IP 处于活跃滥用状态
- 记录了多类别滥用:钓鱼、暴力破解、欺诈
### SOC 观察:
- 最近的报告确认了正在进行的恶意活动(不是过时数据)
- 多类别滥用表明该基础设施被用于多种攻击类型
- 持续的滥用历史支持永久封堵建议
### 6. IOC 2 — 可疑域名:VirusTotal 查询
- 向 VirusTotal 提交了域名 `secure-login-verify.com`
- 检出率:**8/92 个引擎将该域名标记为恶意**
- 确认了钓鱼主题的命名模式(`secure`、`login`、`verify`)
### SOC 观察:
- 域名的检出率往往滞后于 IP 信誉,8/92 已属显著
- 钓鱼主题的词汇模式是普遍的危险信号
- 仅凭命名模式就足以在 DNS 层面封堵该域名
### 7. IOC 2 域名:VirusTotal 详细分析
- 审查了关联的子域名、解析记录和检测历史
- 捕获了将该域名与可疑 IP 联系起来的被动 DNS 数据
- 记录了特定引擎的分类(钓鱼、恶意软件、可疑)
### SOC 观察:
- 被动 DNS 确认了域名与 IP 基础设施之间的关系
- 引擎在钓鱼分类上达成的共识强化了归因
- 子域名枚举可能会暴露额外的活动基础设施
### 8. IOC 2 域名:Whois 查询
- 对 `secure-login-verify.com` 执行了 `whois` 查询
- 结果:**无匹配项——域名已被接管下线**
- 评估模式:短生命周期的钓鱼域名,在活动结束后被废弃
### SOC 观察:
- 调查后的域名下线与钓鱼 TTP(战术、技术和程序)一致
- 短期注册是一次性攻击者基础设施的标志
- 域名不存在并不能使发现无效——历史归因依然保留
### 9. IOC 1 IP Whois:基础设施分析(第 1 部分)
- 对 `185.220.101.45` 执行了 `whois` 查询
- 识别组织:**ForPrivacyNET**
- 确认网络范围:**`185.220.101.32 - 185.220.101.63`**
### SOC 观察:
- 托管组织识别有助于基础设施归因
- 网络范围数据能够将封锁列表扩展到单个 IP 之外
- 注重隐私的托管是 Tor 基础设施的典型特征
### 10. IOC 1 IP Whois:基础设施分析(第 2 部分)
- 捕获地理位置:**德国,柏林**
- 确认 IP 分类:**Tor 出口节点**
- 记录了该活动的基础设施背景
### SOC 观察:
- Tor 出口节点对于入站流量普遍属于高风险
- 单凭地理位置并不能作为归因——Tor 隐藏了真实来源
- 封堵建议扩展至整个 Tor 出口节点范围
### 11. IOC 3 电子邮件:MXToolbox 标头分析(第 1 部分)
- 向 MXToolbox 提交了钓鱼电子邮件标头
- 识别出伪造的发件人:`security@paypal.com`
- 确认发送 IP:`185.220.101.45`(与 IOC 1 匹配)
### SOC 观察:
- 电子邮件标头取证是价值最高的单一钓鱼检测技术
- 发件人与 IP 的不匹配是伪造的铁证
- 跨 IOC 共享的 IP 证明了活动级别的关联
### 12. IOC 3 电子邮件:MXToolbox 标头分析(第 2 部分)
- 捕获 Reply-To 地址:`attacker@secure-login-verify.com`(与 IOC 2 匹配)
- 确认黑名单状态:**在黑名单上——恶意**
- 确认 SPF / DKIM:**不存在——无电子邮件身份验证**
### SOC 观察:
- Reply-To 与 From: 地址不匹配是明确的伪造指标
- 缺少 SPF/DKIM 使得电子邮件冒充变得轻而易举
- 跨多个来源的黑名单命中确认了该威胁的广泛认知
## IOC 调查总结
### IOC 1 — 可疑 IP 地址
| 字段 | 调查结果 |
|--------------------------|----------------------------------------|
| **IP** | `185.220.101.45` |
| **VirusTotal 检测** | 16/92 — 恶意 |
| **类别** | 钓鱼 |
| **AbuseIPDB 评分** | 100% |
| **总报告数** | 来自 607 个不同来源的 6,607 份报告 |
| **类型** | Tor 出口节点 |
| **组织** | ForPrivacyNET |
| **网络范围** | `185.220.101.32 - 185.220.101.63` |
| **国家** | 德国,柏林 |
| **最后报告时间** | 活跃滥用中 |
| **建议措施** | 在防火墙封禁整个网络范围 |
### IOC 2 — 可疑域名
| 字段 | 调查结果 |
|--------------------------|--------------------------------------------------|
| **域名** | `secure-login-verify.com` |
| **VirusTotal 检测** | 8/92 — 恶意 |
| **Whois 结果** | 无匹配项——域名已被接管下线 |
| **评估** | 短生命周期钓鱼域名——活动结束后被废弃 |
| **建议措施** | 在 DNS 和电子邮件网关进行封堵 |
### IOC 3 — 钓鱼电子邮件标头分析
| 字段 | 调查结果 | 风险 |
|----------------------|------------------------------------------|----------------------------|
| **发件人** | `security@paypal.com` | ❌ 伪造的发件人 |
| **回复至** | `attacker@secure-login-verify.com` | ❌ 真实攻击者地址 |
| **发送 IP** | `185.220.101.45` | ❌ 已知 Tor 出口节点 |
| **发送域** | `mail.secure-login-verify.com` | ❌ 恶意域名 |
| **黑名单状态** | 在黑名单中 | ❌ 已确认为恶意 |
| **SPF / DKIM** | 不存在 | ❌ 无电子邮件身份验证 |
| **建议措施** | 封禁发件人域名 + 用户安全教育 | — |
## IOC 关联
所有三个 IOC 均关联至同一次协同钓鱼活动:
```
Phishing Email
├── Sent from: 185.220.101.45 (Tor Exit Node)
├── Using domain: secure-login-verify.com
└── Spoofing: security@paypal.com
```
## 妥协指标
| 类型 | 指标 | 来源 |
|------------------|------------------------------------------|-----------------------|
| 恶意 IP | `185.220.101.45` | VirusTotal、AbuseIPDB |
| IP 网络范围 | `185.220.101.32 - 185.220.101.63` | Whois |
| 恶意域名 | `secure-login-verify.com` | VirusTotal |
| 子域名 | `mail.secure-login-verify.com` | 电子邮件标头 |
| 伪造发件人 | `security@paypal.com` | 电子邮件标头 |
| 攻击者回复地址 | `attacker@secure-login-verify.com` | 电子邮件标头 |
| 基础设施 | ForPrivacyNET(Tor 出口托管) | Whois |
| 身份验证 | 缺失 SPF / DKIM | MXToolbox |
## MITRE ATT&CK 映射
| 行为 | 技术 ID | 描述 |
|-----------------------------------------|--------------|----------------------------------------------------------|
| 网络钓鱼 | T1566 | 向受害者发送伪造的 PayPal 电子邮件 |
| 网络钓鱼:鱼叉式钓鱼链接 | T1566.002 | 旨在驱动凭证收集的电子邮件 |
| 获取基础设施:域名 | T1583.001 | 为活动注册的一次性钓鱼域名 |
| 代理:多跳代理 | T1090.003 | 使用 Tor 出口节点匿名化攻击者来源 |
| 伪装:匹配合法名称 | T1036.005 | 在发件人地址中伪造 PayPal 品牌 |
| 建立账户:电子邮件账户 | T1585.002 | 使用受攻击者控制的 Reply-To 地址 |
## SOC 分析师发现
- 三个 IOC 被确认恶意,并关联到同一次钓鱼活动
- 可疑 IP 是一个被滥用的活跃 Tor 出口节点,在 AbuseIPDB 上拥有 100% 的置信度
- 恶意域名已通过 VirusTotal 和 Whois 数据确认(活动后已被下线)
- 电子邮件标头取证暴露了伪造的发件人、不匹配的 Reply-To 以及缺失的 SPF/DKIM
- 跨 IOC 的关联建立了活动级别的归因
- 基础设施分析识别了网络范围和托管组织,用于扩展封锁列表
- 被伪造品牌域名上未强制执行 SPF / DKIM,导致其被轻易冒充
## SOC 分析师响应
- 在边界防火墙封禁整个 Tor 出口网络范围 `185.220.101.32 - 185.220.101.63`
- 在 DNS 和电子邮件网关层封禁 `secure-login-verify.com` 和 `mail.secure-login-verify.com`
- 将所有三个 IOC 添加到 SIEM 监视列表,用于回溯和实时关联
- 隔离原始钓鱼电子邮件并搜索其他内部收件人
- 为任何与该电子邮件有过交互的用户重置凭证
- 将活动 IOC 提交到内部威胁情报共享平台
- 建议强制执行 SPF、DKIM 和 DMARC,以防止未来的品牌冒充
- 使用此电子邮件作为案例研究,提供有针对性的用户安全意识培训
## 分析师洞察
最强大的威胁情报工作是关联工作。这三个 IOC 孤立来看都值得调查,但结合在一起它们构成了归因:相同的 IP、相同的域名基础设施、相同的伪造品牌、相同的攻击活动。Tor 出口节点和一次性域名的使用反映了现代钓鱼攻击者的剧本:低成本、大批量且蓄意短命。在多个平台(信誉 → 基础设施 → 标头取证)之间进行枢纽分析的 SOC 分析师,能够持续将孤立的告警转化为可操作的活动级情报。
## 学习成果
本次调查展示了以下能力:
- 对 IP、域名和电子邮件进行多源威胁情报调查
- 跨 VirusTotal、AbuseIPDB、MXToolbox 和 Whois 交叉验证 IOC
- 分析电子邮件标头以检测伪造、缺失的身份验证和攻击者基础设施
- 在 IOC 之间进行枢纽分析以建立活动级别的归因
- 识别和记录基于 Tor 的攻击者匿名化基础设施
- 将 MITRE ATT&CK 映射应用于钓鱼活动分析
- 制定与 IOC 发现相符的可操作修复计划
- 认识到 SPF、DKIM 和 DMARC 在防止品牌冒充中的作用
## 仓库结构
```
threat-intelligence-osint-lab/
├── README.md
└── screenshots/
├── 01_virustotal_homepage.png
├── 02_virustotal_ip_results.png
├── 03_virustotal_ip_details.png
├── 04_abuseipdb_results_1.png
├── 04_abuseipdb_results_2.png
├── 05_virustotal_domain_results.png
├── 06_virustotal_domain_details.png
├── 07_whois_domain_lookup.png
├── 08_whois_ip_lookup_1.png
├── 08_whois_ip_lookup_2.png
├── 10_mxtoolbox_analysis_1.png
└── 10_mxtoolbox_analysis_2.png
```
## 结论
本次调查展示了真实的威胁情报和 OSINT 工作流。三个 IOC 在四个行业标准平台(VirusTotal、AbuseIPDB、MXToolbox 和 Whois)上得到了验证,并关联成为一次利用 Tor 匿名化和品牌冒充的单体协同钓鱼活动。该输出完全反映了 SOC Tier 1 或 CTI 分析师在分类可疑指标时所遵循的精确流程:信誉查询、交叉验证、基础设施分析、标头取证、关联以及可操作的修复。
标签:AbuseIPDB, Ask搜索, ESC4, GitHub, HTTP/HTTPS抓包, IOC, MXToolbox, Object Callbacks, OSINT, Tor出口节点, VirusTotal, Whois查询, 基础设施映射, 妥协指标, 威胁情报, 安全分析师, 安全报告, 安全溯源, 安全运营中心, 密码管理, 库, 应急响应, 开发者工具, 态势感知, 恶意IP, 恶意域名, 数字取证, 网络威胁情报, 网络映射, 网络钓鱼, 自动化脚本, 鱼叉式钓鱼