rvamsh98/phishing-email-investigation
GitHub: rvamsh98/phishing-email-investigation
这是一份针对 Office 365 凭据收集钓鱼攻击的完整事件响应调查报告,涵盖邮件头分析、IOC 提取及 MITRE ATT&CK 映射。
Stars: 0 | Forks: 0
# # Office 365 凭据收集钓鱼调查
## 执行摘要
本项目记录了针对 Microsoft Office 365 用户的凭据收集钓鱼活动的调查过程。
该钓鱼邮件使用账户终止为主题来制造紧迫感,诱骗收件人验证其账户。调查显示,嵌入的超链接将用户重定向到一个伪装成 IT 帮助台门户的 Google Forms 页面。该表单要求提供 Office 365 凭据和其他个人信息,表明这是一次旨在进行凭据收集和信息收集的活动。
该事件随后被纽黑文大学信息技术部确认为恶意事件,该部门已从受影响的邮箱中删除了该邮件,并启动了补救措施。
## 关键技术发现
电子邮件标头分析揭示了以下 Exchange 身份验证标头:
- X-MS-Exchange-Organization-AuthAs: Internal
- X-MS-Exchange-CrossTenant-AuthAs: Internal
这些标头表明该邮件源自经过身份验证的内部 Microsoft 365 账户,而非外部发件人。
结合钓鱼内容和凭据收集行为,这表明发件人账户可能已被攻陷,并随后被用于分发钓鱼邮件。
这一发现意义重大,因为内部通过身份验证的钓鱼邮件可以绕过传统的边界电子邮件安全控制,并且通常被收件人认为更具可信度,从而增加了成功窃取凭据的可能性。
## 事件概述
| 类别 | 详情 |
|-----------|-----------|
| 主题 | CONFIRM TERMINATION |
| 威胁类型 | 凭据收集 |
| 严重程度 | 高 |
| 传递方式 | 电子邮件 |
| 目标平台 | Microsoft Office 365 |
| 观察日期 | 2026 年 6 月 |
## 调查目标
- 分析钓鱼邮件
- 审查电子邮件身份验证指标
- 调查嵌入的 URL
- 分析目标登录页面
- 识别攻陷指标 (IOC)
- 确定攻击者目标
- 将活动映射到 MITRE ATT&CK
- 记录发现和补救建议
# 调查方法
## 1. 电子邮件分析
该钓鱼邮件声称收件人的 Office 365 账户需要进行验证,以避免账户被终止。
### 识别出的钓鱼指标
- 基于恐惧和紧迫感的语言
- 威胁关闭账户
- 要求进行账户验证
- 通用消息
- 可疑的超链接
- 冒充 IT 支持
### 证据
## 2. 电子邮件标头分析
身份验证审查发现缺少电子邮件安全控制。
### 身份验证结果
| 控制 | 结果 |
|----------|----------|
| DKIM | 无 |
| DMARC | 无 |
### Exchange 身份验证标头
- X-MS-Exchange-Organization-AuthAs: Internal
- X-MS-Exchange-CrossTenant-AuthAs: Internal
这些标头的存在表明该邮件源自经过身份验证的内部 Microsoft 365 账户。
### 证据
## 3. URL 分析
### 嵌入的 URL
```
hxxps://forms[.]gle/16PMRGhmVbrD12ZR9
```
### 展开的 URL
```
hxxps://docs[.]google[.]com/forms/d/e/1FAIpQLSfNdIi6Wv_cJIpOYnTE27dZ7PZsm7sI8pE516FA4_8FDeLENw/viewform
```
### URLScan 发现
- 托管在 Google 基础设施上
- 有效的 TLS 证书
- 良好的域名声誉
- 没有基于基础设施的攻陷指标
尽管托管在受信任的平台上,但目标页面正被滥用于收集凭据。
### 证据
## 4. 登录页面分析
目标页面冒充 IT 帮助台门户,并要求提供 Office 365 凭据。
### 凭据收集字段
- Office365 学校电子邮件
- 密码 (PWD)
### 额外数据收集
- 姓名
- 电话号码
- 曾就读的 previous 大学/学院
- 曾就读大学的电子邮件地址
一个重要的发现是,Office 365 验证主题与 Google Forms 目标之间存在不匹配。
这种差异是一个常见的钓鱼指标,强烈暗示了恶意意图。
### 证据
# 攻陷指标 (IOC)
## 电子邮件指标
| 指标 | 值 |
|------------|---------|
| 主题 | CONFIRM TERMINATION |
| 发件人邮箱 | e@unh.newhaven.edu |
| 显示名称 | Medina, Eziyon D |
## URL 指标
```
hxxps://forms[.]gle/16PMRGhmVbrD12ZR9
```
```
hxxps://docs[.]google[.]com/forms/d/e/1FAIpQLSfNdIi6Wv_cJIpOYnTE27dZ7PZsm7sI8pE516FA4_8FDeLENw/viewform
```
## 域名指标
```
forms[.]gle
docs[.]google[.]com
```
## 凭据收集指标
- Office365 学校电子邮件
- 密码 (PWD)
## 观察到的社会工程技术
- 账户终止威胁
- 基于紧迫感的消息传递
- Office 365 验证诱饵
- 冒充 IT 支持
- 凭据收集
- 滥用受信任的云服务
# MITRE ATT&CK 映射
## 凭据访问
| 技术 ID | 技术 |
|-------------|-----------|
| T1566.001 | 鱼叉式钓鱼链接 |
### 潜在的攻击者目标
- 凭据收集
- 信息收集
- 账户攻陷
# 分析师评估
该钓鱼活动利用了合法的云托管服务(Google Forms)来增加信任度并逃避基于声誉的检测。
内部 Exchange 身份验证标头的存在表明,该邮件可能是从受损的 Microsoft 365 账户分发的,这增加了其可信度,并可能绕过边界过滤控制。
该活动的主要目标是凭据收集,次要目标包括收集个人信息和潜在的账户接管。
根据收集到的证据和组织采取的补救措施,此次活动被高可信度地评估为一起凭据收集钓鱼活动。
# 组织验证
纽黑文大学信息技术部随后确认该邮件为恶意邮件,并将其从受影响的用户邮箱中删除。
### 证据
# 补救措施
1. 从受影响的邮箱中删除钓鱼邮件。
2. 重置受影响用户的密码。
3. 吊销活动会话。
4. 调查发件人账户活动。
5. 审查身份验证日志。
6. 监控或阻止已识别的钓鱼 URL。
7. 开展用户安全意识培训。
# 经验教训
- 受信任的域名并不能保证内容受信任。
- Google Forms 可能会被滥用于钓鱼活动。
- 凭据收集攻击经常利用合法的云服务。
- 内部账户如果被攻陷,可能会被滥用。
- URL 展开和登录页面分析是关键的调查步骤。
# 使用的工具
- Microsoft 365 电子邮件分析
- Exchange 标头分析
- URLScan.io
- Google Forms 调查
- MITRE ATT&CK 框架
- 手动 IOC 提取
# 展示的技能
- 钓鱼分析
- 电子邮件标头分析
- 威胁追踪
- IOC 提取
- URL 调查
- 威胁情报分析
- 事件响应
- 安全文档编写
- MITRE ATT&CK 映射
# 完整报告
[查看完整调查报告](Phishing%20Email%20Case%20Study.pdf)
# 作者
**Vamshi Ramavath**
GitHub: https://github.com/rvamsh98
标签:威胁情报, 库, 应急响应, 开发者工具, 微软Office365, 电子邮件取证, 身份凭证收集, 钓鱼邮件分析