ArmanBhatia0100/Phishing_Investigation-SwiftSpend-Financial-Incident-1

# 🎣 钓鱼调查：SwiftSpend Financial 安全事件 ## 概述 这是一次针对 **SwiftSpend Financial** 的模拟事件响应调查，该公司多个部门的员工报告收到了可疑电子邮件。在威胁被上报之前，已有部分用户提交了其凭证并丧失了账户访问权限。 本项目记录了完整的调查工作流 —— 从原始电子邮件分类、钓鱼工具包提取、凭证暴露分析，到使用开源 CTI 工具进行对手情报收集。 ## 目标 - 分析电子邮件样本以提取关键构件（发件人、邮件头、附件） - 调查钓鱼 URL 以追踪重定向链 - 获取并检查对手部署的钓鱼工具包 - 使用 **VirusTotal** 和其他 CTI 工具对威胁进行画像分析 - 识别暴露的凭证和攻击者基础设施 - 使用 **CyberChef** 解码混淆的指标 ## 展示技能 | 领域 | 工具 / 技术 | |---|---| | 电子邮件分析 | 邮件头检查、附件分析、发件人欺骗检测 | | URL 调查 | 重定向追踪、域名枚举 | | 文件取证 | SHA256 哈希计算 (`sha256sum`)、归档提取 | | 威胁情报 | VirusTotal 文件/哈希查询、威胁类别标记 | | 钓鱼工具包分析 | PHP 源码审查、凭证收集器识别 | | 数据解码 | CyberChef (Base64 解码 + 字符串反转) | | OSINT | 暴露目录枚举 (`/data`, `/data/Update365/`) | ## 调查演练 ### 阶段 1 — 电子邮件分类 在实验虚拟机上打开了 `phish-emails` 文件夹，并审查了所有可用的电子邮件样本。识别出的关键构件包括： - 从邮件头和正文内容中识别出“服务 rendered 报价”邮件的**目标收件人** - 从 `From:` 和 `Reply-To:` 字段中提取出**攻击者发件人地址** - 邮件显示出欺骗迹象 —— 显示名称被篡改且与信封发件人不匹配 ### 阶段 2 — 附件分析 重点调查了发送给 **Zoe Duncan** 的电子邮件，该邮件包含一个文件附件。 - 在虚拟机浏览器中打开了该附件 - 追踪内嵌的重定向 URL 至其**根域名** - 登录页面是一个**冒充某大型公司登录页面**的凭证收集门户 ### 阶段 3 — 钓鱼工具包获取 在确定钓鱼域名后，进行了目录枚举： - 导航至攻击者服务器上的 `/data` —— 发现了一个暴露的**归档文件** - 将该归档文件下载到虚拟机 - 生成了该文件的完整性哈希值： ``` sha256sum ``` * 将该哈希值提交至 **VirusTotal** 进行分析 **VirusTotal 调查结果：** * 威胁类别：`Phishing` + 识别出另外一个类别 * 通过 *Details* 标签页确认了归档文件内的文件数量 ### 阶段 4 — 凭证暴露分析 导航至攻击者服务器上的 `/data/Update365/`： * 发现了一个包含已提交凭证的**日志文件** * 审查条目以识别出**多次**提交凭证的用户 —— 这是受害者反复交互或凭证被测试的强烈指标 ### 阶段 5 — 钓鱼工具包源码分析 解压下载的归档文件并找到 `submit.php`： * 审查 PHP 源码以确定收集到的凭证是如何被窃取的 * 发现脚本中硬编码了**攻击者的收集邮箱地址** —— 这是威胁行为者常见的操作安全 (OPSEC) 失误 ### 阶段 6 — Flag 恢复与解码 在钓鱼服务器上找到了 `flag.txt` 文件。其内容使用了以下方式进行编码： 1. **Base64 编码** 2. **字符串反转** 使用 CyberChef 食谱解码： `From Base64 → Reverse (Character)` 成功恢复了明文 secret 值。 ## 关键要点 **观察到的攻击者 OPSEC 失误：** - 暴露的 `/data` 目录且无访问控制 - 凭证日志文件可被公开读取 - 收集邮箱硬编码在 PHP 源码中 - 部署后仍将归档文件留在活跃服务器上 **防御建议：** - 强制执行电子邮件身份验证标准：**SPF**、**DKIM**、**DMARC** - 部署抗钓鱼的 MFA（例如 FIDO2/passkeys）以限制凭证被盗带来的影响 - 针对仿冒登录页面开展用户意识培训 - 监控来自新 IP/设备的未经授权的凭证使用情况 - 针对模仿公司品牌名称的域名进行威胁狩猎 ## 使用的工具 - **VirusTotal** — 哈希和文件信誉分析 - **CyberChef** — 数据解码和转换 - **sha256sum** — 文件完整性验证 - **Browser DevTools** — URL 和重定向检查 - **Linux CLI** — 归档文件提取、文件导航 ## 实验参考 **平台：** [TryHackMe](https://tryhackme.com) **模块：** [钓鱼分析](https://tryhackme.com/module/phishing) **已完成的前置条件：** - 钓鱼分析基础 - 实战钓鱼邮件 - 钓鱼分析工具 - 钓鱼防御 ## ⚠️ 免责声明 本项目是在 TryHackMe 提供的受控、合法的实验环境中完成的。引用的所有调查结果、URL 和构件均为教育目的而模拟。未访问或损害任何真实系统。 *这是我持续进行的网络安全作品集的一部分。查看我的其他项目以获取更多 CTF 解题报告、家庭实验室文档和安全工具信息。*

标签：威胁情报, 安全运营中心, 库, 应急响应, 开发者工具, 电子取证, 网络威胁狩猎, 网络安全, 网络映射, 钓鱼攻击分析, 隐私保护