kbugra/phishing-investigation-lab

# 钓鱼邮件调查报告实验室 **作者：** KBugra ## 我的调查内容 - **案例 1：** 历史钓鱼邮件 PayPal (2005) — 原始 IP 凭据收集、SpamAssassin 分析、DNSBL 扩充 - **案例 2：** 现代钓鱼邮件 Microsoft/Office365 (2023+) — SPF/DKIM/DMARC 分析、域名仿冒 *(计划中)* - **案例 3：** BEC / 附件恶意软件钓鱼 — hash 分析、沙箱审查、MIME 检查 *(计划中)* ## 展示的技能 | 类别 | 技能 | |----------|--------| | **邮件头分析** | SPF, DKIM, DMARC 解读, Received 链路追踪, Message-ID 伪造检测 | | **威胁情报** | VirusTotal, URLScan.io, AbuseIPDB, WHOIS/RDAP, SpamAssassin 规则分析 | | **IOC 提取** | Domain, URL, IP, hash, email, subject, Message-ID — 带有置信度级别的表格 | | **事件响应** | 遏制建议、邮件网关规则、SIEM 搜寻查询 (Splunk, KQL, Lucene) | | **报告编写** | 基于证据的 SOC 调查报告，包含时间线、判定决策树、Mermaid 图表 | | **工具开发** | Python 邮件分类辅助工具 — header 解析器、IOC 提取器 (无自动判定) | | **实验室安全** | VM 隔离、无害化处理、仅使用公开数据、不与活跃基础设施交互 | ## 生成的证据 ### 案例 1：PayPal 凭据收集 (2005) - **📄 报告：** [CASE1_FINAL.md](reports/phishing_investigation_report_CASE1_FINAL.md) — 10 部分 SOC 报告 - **📊 IOC：** [iocs.csv](iocs/iocs.csv) — 11 个带有置信度级别的指标 - **📸 截图：** 10 张带注释的截图 (原始邮件头、解析器输出、VT、URLScan、WHOIS、AbuseIPDB) - **🔧 工具：** [email_triage_helper.py](tools/email_triage_helper.py) — Python header/IOC 解析器 **➡️ [查看案例 1 报告](reports/phishing_investigation_report_CASE1_FINAL.md)** ### 关键发现摘要 | 指标 | 发现 | |-----------|---------| | 显示文本/href 不匹配 | paypal.com → 217.219.163.3:280/login.html | | Message-ID 域名 | 8nm.f9alj (非 paypal.com) | | SpamAssassin 得分 | 22.4 / 5.0 阈值 — 触发 17 条规则 | | 中继 IP | 12.219.13.159 — 已被 Spamhaus XBL + SORBS DUL + DSBL 列入名单 | | 结论 | **钓鱼邮件 — 凭据收集** (10 条证据链) | ## 安全模型 - 🔒 所有钓鱼样本均在 **隔离的 VirtualBox VM** (Kali Linux) 内处理 - ⛓️ 公开文档中的所有 URL 均已进行无害化处理 (hxxp://, [.]) - 📁 本仓库中**不包含任何 .eml 样本文件** - 📋 所有收件人地址均来自公开研究语料库 (Nazario Corpus, CC-BY-4.0) - 🛡️ 本分析仅用于**防御/实验室目的** — 不包含任何攻击工具或活跃恶意软件 ## 仓库结构 ``` phishing/ ├── reports/ # Investigation reports (Markdown) ├── iocs/ # IOC tables (CSV) ├── screenshots/ # Evidence screenshots ├── tools/ # Python email triage helper ├── docs/ # Dataset attribution, methodology ├── samples/ # Acquisition guide only (no .eml files) ├── references/ # Tool links, research sources ├── README.md ├── LICENSE # MIT + CC-BY-4.0 attribution └── SECURITY.md # Safety notice ``` ## 在您的实验室中复现 1. 设置隔离的 VM (VirtualBox + Kali/REMnux) — 参见 [VM_SETUP_GUIDE.md](VM_SETUP_GUIDE.md) 2. 获取 Nazario 钓鱼语料库样本 — 参见 [samples/SAMPLE_ACQUISITION_GUIDE.md](samples/SAMPLE_ACQUISITION_GUIDE.md) 3. 运行分类辅助工具：`python tools/email_triage_helper.py sample.eml` 4. 遵循手动分析工作簿：[MANUAL_WORKBOOK.md](MANUAL_WORKBOOK.md) 5. 填写调查报告模板和 IOC CSV ## 许可证 - **代码与文档：** MIT License - **钓鱼样本数据 (Nazario Corpus)：** CC-BY-4.0 — José Nazario - 参见 [LICENSE](LICENSE) 和 [docs/DATASET_ATTRIBUTION.md](docs/DATASET_ATTRIBUTION.md)

标签：Python, SOC实验, 威胁情报, 库, 应急响应, 开发者工具, 无后门, 逆向工具, 钓鱼邮件分析, 防御加固