venkatavishnuvardhana/Phishing-Malware-Triage-Lab

GitHub: venkatavishnuvardhana/Phishing-Malware-Triage-Lab

一个基于云端沙箱和开源威胁情报的企业钓鱼事件响应与恶意软件分流演练实验室,涵盖邮件头取证、动态行为分析和IoC提取全流程。

Stars: 0 | Forks: 0

# 钓鱼-恶意软件分流实验室 # 企业钓鱼事件响应与恶意软件分流实验室 ## 1. 执行摘要 本项目概述了一次模拟蓝队事件响应工作流程,针对高风险企业钓鱼告警展开。在严格的硬件内存限制下,该实验室利用云端沙箱引爆管道和开源威胁情报(OSINT)基础设施,安全地拆解恶意附件、提取入侵指标(IoC),并为企业安全运营中心(SOC)建立可操作的缓解预案。 ## 2. 技术架构与工具栈 * **取证邮件审计:** MXToolbox 邮件头分析器、原始 MIME 检查 * **动态恶意软件沙箱:** Any.Run 云端引爆管道(Windows 10 执行节点) * **威胁情报与聚合:** VirusTotal API / OSINT 文件摄取 * **文档与分流:** 结构化事件响应预案 ## 3. 第一阶段:入站邮件头取证审计 利用 MXToolbox 解析原始邮件元数据,发现关键认证失败级联,确认了活跃的域名欺骗活动: * **真实攻击源 IP:** `185.220.101.22`(mailout1.example-mailer.com) * **加密域名欺骗验证:** * **SPF:** FAIL — 主机 IP 未经授权代表目标发件域名发送邮件。 * **DKIM:** FAIL — 未找到有效加密签名,证明邮件被篡改。 * **DMARC:** FAIL — 触发显式对齐拒绝规则(`p=reject`)。 ![邮件头分析](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/340e9edc00013612.png) ## 4. 第二阶段:动态沙箱引爆(Any.Run 指标) 武器化附件(`invoice.docm`)被隔离并在安全的云端 Windows 10 虚拟机沙箱执行节点中引爆,以跟踪实时进程行为: ### 对抗性进程执行树: 1. **初始访问:** `WINWORD.EXE`(PID: 3284)执行启用宏的资产。 2. **执行向量:** 恶意宏成功生成原生 `cmd.exe`(PID: 4028)以绕过标准限制策略。 3. **就地取材(LotL):** `cmd.exe` 调用混淆的 `powershell.exe`(PID: 4216)实例以执行第二阶段载荷。 4. **二进制摄取与绕过链:** PowerShell 脚本通过 `rundll32.exe`(PID: 4772)-> `mshta.exe`(PID: 4936)执行防御规避命令,并利用 `regsvr32.exe`(PID: 4896)建立本地进程持久化。 ![Any.Run 进程树](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/9d88d439a5013613.png) ## 5. 第三阶段:威胁情报验证 提取的载荷哈希通过 VirusTotal API 经由全球开源威胁情报(OSINT)基础设施进行交叉检查安全定义: * **文件签名识别哈希(SHA256):** `e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855` * **全球检测向量指标:** **52/74** 安全供应商引擎将该工件标记为高度恶意。 * **主要威胁向量分类:** 由企业终端平台(Microsoft Defender、CrowdStrike Falcon)明确识别为 `Trojan:Win32/Wacatac.B!ml` — 活跃的下载器后门载荷。 ![VirusTotal 威胁情报](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/3c286f067c013614.png) ## 6. 修复与事件遏制预案 1. **邮件网关遏制:** 在中央邮件网关上针对恶意发件域名(`example-mailer.com`)部署全局传输阻止规则。 2. **网络出口缓解:** 在企业边界防火墙阻止列表中提取的命令与控制(C2)IP 地址(`185.220.101.22`)加入黑名单。 3. **终端隔离:** 创建终端检测与响应(EDR)哈希阻止规则,自动隔离与企业资产中匹配哈希 `e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855` 的任何文件。
标签:AI合规, Any.Run, APT分析, Ask搜索, DKIM, DMARC, DNS 反向解析, DNS 解析, Email Forensics, ESC4, Incident Response, IoC提取, Malware Analysis, MXToolbox, Object Callbacks, OSINT, Phishing, Playbook, Sandbox Analysis, SPF, Threat Hunting, TTP映射, VirusTotal, 云沙箱, 企业安全, 威胁情报, 安全运营中心, 宏病毒, 开发者工具, 微虚拟机, 恶意文档, 恶意软件沙箱, 指示器检测, 数据包嗅探, 无线安全, 网络信息收集, 网络安全审计, 网络映射, 网络资产管理, 网络钓鱼, 邮件取证, 邮件头分析