MZRA9/SOC-PORTAFOLIO

# SOC & 蓝队案例研究 ### Cristian Alejandro Romero Azucena | SOC 分析师 L1 安全事件真实案例分析技术库，遵循专业事件响应方法进行记录。所有案例均为在真实环境中检测到的真实阳性案例——非模拟实验室环境。 ## 分析师简介 - Fortinet 认证基础 (FCF) — 网络安全 - BTL1 — 安全蓝队级别 1 (进行中) - 专长：钓鱼分类、IOC 提取、MITRE ATT&CK 映射 - GitHub: github.com/MZRA9 | 邮箱: cr1st14n1807@gmail.com ## 1. 钓鱼 & 精准钓鱼事件分析 / 钓鱼事件分析 涵盖真实世界凭证收集和恶意软件传播活动的结构化事件报告，包括完整的电子邮件标题分析、IOC 提取、MITRE ATT&CK TTP 映射和 SOC 准备好的升级文档。 ### INC-2026-0001 — SAT 钓鱼活动针对 IPN 机构账户 **严重程度：高 | **分类：真实阳性 | **技术：T1566.002, T1204.001 **主要发现：** - 攻击者在恶意域名上正确配置了 SPF/DKIM/DMARC 以绕过电子邮件网关过滤器——使用身份验证通过状态作为逃避技术 - 发件人地址的拼写欺骗：使用 `noreplay` 而不是 `noreply` 以逃避精确匹配过滤规则 - 完整的 IOC 提取：源 IP、发件人域名、钓鱼重定向域名 - 完整的 MITRE ATT&CK 映射：初始访问 (T1566.002) 和执行 (T1204.001) [查看完整报告](./SOC-BlueTeam-Cases/INC-2026-0001-SAT/Analisis-Phishing-SAT-ES.md) | [英文版本 (EN)](./SOC-BlueTeam-Cases/INC-2026-0001-SAT/Analisis-Phishing-SAT-EN.md) ### INC-2026-0002 — Coppel 品牌模仿 — 凭证收集活动 **严重程度：高 | **分类：真实阳性 | **技术：T1566.002, T1204.001 **主要发现：** - 双重社会工程学：基于紧迫性的主题行与基于奖励的正文内容相结合——设计用于通过单一消息捕获两个不同的受害者画像 - 3 跳重定向链，在两个最终目的地之间进行活跃域名轮换——单域名阻止是不够的 - 使用 Cloudflare 作为反向代理以隐藏真实服务器基础设施；通过 OSINT 工具获得真实源 IP - 重定向基础设施上的动态 DNS (dyna-ns.net) — 允许快速 IP 轮换以逃避基于 IP 的阻止 - 提取并记录了 8 个 IOC：3 个 IP、5 个域名 [查看完整报告](./SOC-BlueTeam-Cases/INC-2026-0002-Coppel/Analisis-Phishing-Coppel-ES.md) | [英文版本 (EN)](./SOC-BlueTeam-Cases/INC-2026-0002-Coppel/Analisis-Phishing-Coppel-EN.md) ## 方法论 / Metodología 每份报告都遵循结构化的 SOC 事件分析格式： 1. 事件分类和严重程度评级 2. 发件人和电子邮件标题分析 3. MITRE ATT&CK TTP 映射 4. IOC 提取和记录 5. 对攻击者基础设施的 OSINT 调查 6. 隔离和修复建议 ## 使用工具 - 电子邮件标题分析：手动检查 + MXToolbox - 域名情报：WHOIS、osintdomain.com - 威胁声誉：VirusTotal - 框架：MITRE ATT&CK - 对所有恶意指标应用 URL 解毒，符合行业标准

标签：请求拦截, 逆向工具