ricardosanzonetti/smishing-threat-analysis
GitHub: ricardosanzonetti/smishing-threat-analysis
一个面向DFIR的钓鱼短信调查项目,完整记录了从证据保全到检测工程的全流程方法论和文档模板。
Stars: 0 | Forks: 0
# 钓鱼短信威胁分析 – DFIR 调查
面向 DFIR 的钓鱼短信调查,模拟了通过基于 SMS 的社会工程技术针对西班牙用户的银行冒充活动。
## 核心能力
- 被动取证元数据分析
- IOC 提取与扩充
- YARA 检测工程
- MITRE ATT&CK 映射
- 时间线重建
- 证据完整性验证
- 威胁情报关联
- 事件响应文档记录
- 检测策略制定
## 技术与方法论
- Kali Linux
- Git & GitHub
- YARA
- DFIR 工作流
- OSINT 关联
- SHA256 证据验证
- 威胁狩猎准备
- 事件响应剧本
* 钓鱼短信威胁分析 - ING 冒充案例
** 概述
本仓库记录了一次模拟钓鱼短信调查,该调查针对通过基于 SMS 的社会工程技术攻击西班牙银行用户。
本项目重点关注:
- 威胁分析
- IOC 文档记录
- 证据完整性
- 基础取证元数据分析
- OSINT 关联
- 基于 Git 的调查工作流
** 场景
一条冒充 ING 银行服务的可疑 SMS 试图迫使接收者拨打一个与潜在欺诈活动相关的电话号码。
观察到的特征包括:
- 制造紧急情况的语言
- 银行冒充
- 语音呼叫重定向
- 社会工程学指标
** 目标
- 保留证据完整性
- 执行被动 OSINT 分析
- 记录失陷指标
- 分析取证元数据
- 构建专业的 DFIR 风格文档
** 仓库结构
```
docs/
├── notes.md
evidence/
└── smishing-evidence/
├── hashes.txt
└── sms_img_smishing_2026-05-12.jpg
iocs/
└── iocs.md
osint/
└── phone_number/
└── findings.md
reports/
└── final_report.md
screenshots/
scripts/
```
## 检测工程
### YARA 检测逻辑
本项目包含一个自定义的 YARA 规则,旨在通过被动元数据关联技术识别与钓鱼短信相关的取证截图工件。
已实现的检测能力包括:
- 截图工件识别
- Apple iOS 元数据关联
- 钓鱼短信关键字匹配
- 被动取证工件检查
- 轻量级证据验证工作流
相关检测文件:
- `yara/smishing_detection.yar`
- `yara/yara_scan_results.md`
## IOC 关联
通过基于 CSV 的指标管理工作流实现了结构化的 IOC 跟踪。
跟踪的指标包括:
- SHA256 哈希
- 文件归因
- 威胁分类
- 社会工程学指标
- 严重性评分
- 调查状态跟踪
主要 IOC 数据集:
- `ioc/indicators.csv`
## 取证时间线重建
调查包括一个基于被动元数据分析和证据处理观察重建的取证时间线。
时间线重建目标:
- 验证时间顺序一致性
- 保持证据完整性
- 关联分析师活动
- 记录调查工作流进展
时间线文档:
- `timeline/forensic_timeline.md`
## MITRE ATT&CK 映射
模拟的钓鱼短信活动与以下 ATT&CK 技术相对应:
| 技术 ID | 技术 |
|---|---|
| T1566.001 | 鱼叉式钓鱼附件 |
| T1598 | 钓鱼收集信息 |
| T1204 | 用户执行 |
| T1586 | 破坏账户 |
| T1071 | 应用层协议 |
## 安全相关性
本仓库演示了实用的蓝队导向工作流,包括:
- DFIR 方法论
- 威胁狩猎准备
- 检测工程
- IOC 管理
- 被动取证分析
- 时间线重建
- 证据保全程序
## 调查工作流
1. 证据获取
2. 哈希验证
3. 被动元数据分析
4. IOC 提取
5. OSINT 关联
6. 时间线重建
7. YARA 检测工程
8. 文档记录与报告
## 检测工程说明
本仓库中实现的 YARA 检测逻辑被有意设计为一种轻量级的被动取证检测机制。
实施的检测工作流避免了破坏性分析技术,而是侧重于工件一致性验证、元数据关联以及截图取证指标。
这种方法模拟了在钓鱼短信和短信钓鱼调查期间经常使用的真实世界蓝队检测工程方法论。
## 分析师
Ricardo Gomez Sanzonetti
标签:ATT&CK映射, DNS信息、DNS暴力破解, ESC4, ESC8, ING银行, IOC提取, IP 地址批量处理, meg, OSINT, SHA256, Smishing, YARA规则, 事件响应文档, 信息安全, 元数据分析, 哈希校验, 威胁情报, 安全报告, 库, 应急响应, 开发者工具, 恶意样本分析, 搜索语句(dork), 攻击指标, 数字取证, 时间线重建, 短信诈骗, 社会工程学, 网络安全, 网络安全研究, 自动化脚本, 证据保全, 速率限制处理, 银行冒充, 隐私保护