hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case

GitHub: hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case

一份针对冒充 United Scientific 的 BEC 钓鱼攻击的完整取证分析报告,涵盖邮件标头溯源、恶意软件识别及 AgentTesla 木马归因,并附带可操作的 IOC 指标清单。

Stars: 0 | Forks: 0

# 钓鱼与恶意软件分析报告:冒充 United Scientific ## 📝 概述 本项目记录了针对公司基础设施的可疑商业电子邮件妥协 (BEC) 和钓鱼活动的调查与技术分析。分析涵盖了电子邮件标头取证、附件提取,以及通过威胁情报平台进行的恶意软件信誉评估。 ## 🔍 调查细分 ### 1. 初始邮件筛选 * **主题:** `FW: Swift Payment Copy - Incorrect Bank Details provided` * **发件人:** `Yan Ting ` * **收件人:** `admin@malware-traffic-analysis.net` * **日期:** Tue, 9 Feb 2021 07:15:10 UTC 在检查邮件正文时,发现了多个社会工程学指标。攻击者声称银行账户详细信息已更改,并要求查看附件文档。他们还以“域名拦截”问题为由,解释了使用备用邮箱的原因。 ![邮件正文](https://raw.githubusercontent.com/hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case/main/screenshots/01_phishing_email_body.jpg) ### 2. 标头取证 为了看穿显示的显示名称,我们通过 Thunderbird 提取了原始邮件标头: ![Thunderbird 标头提取](https://raw.githubusercontent.com/hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case/main/screenshots/02_thunderbird_headers_menu.png) 分析原始互联网标头揭示了实际的邮件基础架构路径: * **Return-Path:** `` * **接收 IP:** `71.19.248.52` `Received:` 标头确认该邮件源自位于加拿大的 `eSecureData` 的外部基础设施,证实了这是一种欺骗或与公司实际本地运营不符的外部发送尝试。 ![原始标头来源](https://raw.githubusercontent.com/hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case/main/screenshots/03_raw_email_source.png) ![放大 Received 标头](https://raw.githubusercontent.com/hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case/main/screenshots/04_zoom_received_header.png) ### 3. 恶意软件与制品分析 邮件携带了一个伪装成发票/票据文档的可执行附件,其命名中存在明显的拼写错误(将 `equipent` 误写为 `equipment`)。 使用 PowerShell 计算了该文件的 SHA-256 加密哈希值,以安全地识别此威胁: * **文件名:** `united scientific equipent.exe` * **SHA-256 哈希:** `9909753BFB0AC8AB165BAB3555233D03B01A9274A92E7C022F87CCBE51CA415` ![PowerShell 文件哈希](https://raw.githubusercontent.com/hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case/main/screenshots/05_powershell_file_hash.png) ### 4. 威胁情报查询 在 VirusTotal 上对这些指标进行追踪,为攻击的性质提供了确凿的证实: * **IP 信誉:** 源 IP 地址 `71.19.248.52` 在历史上与多个恶意的 `.eml` 对象紧密关联。 * **恶意软件家族与严重程度:** 初始检测标志显示 63 个引擎中有 36 个标记了该文件,而深度重新扫描显示有 **61/71 家安全供应商将该文件标记为恶意**。它被广泛归类于 **AgentTesla** 木马家族(`Trojan[stealer]:MSIL/AgentTesla`),并与 **Loki** 行为相关联。 ![VirusTotal IP 关系](https://raw.githubusercontent.com/hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case/main/screenshots/06_virustotal_ip_relations.png) ![VirusTotal 检测判定](https://raw.githubusercontent.com/hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case/main/screenshots/07_virustotal_malware_detection.png) ![VirusTotal 深度重扫判定](https://raw.githubusercontent.com/hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case/main/screenshots/09_virustotal_full_malware_detection.png) ![VirusTotal 基本属性](https://raw.githubusercontent.com/hakimfakhar/Phishing-Email-Analysis-United-Scientific-Equipment-Case/main/screenshots/08_virustotal_file_details.png) ## 🛡️ 妥协指标 一个可自动化的列表维护在 [indicators_of_compromise.txt](./indicators_of_compromise.txt) 文件中。 | 类型 | 指标 | 描述 | | :--- | :--- | :--- | | **IP 地址** | `71.19.248.52` | 恶意发件人基础设施 (eSecureData Canada) | | **域名** | `united.com.sg` | 被欺骗/冒充的企业域名 | | **SHA-256 哈希** | `9909753bfb0ac8ab165bab3555233d03b01a9274a92e7c022f87ccbe51ca415` | `united scientific equipent.exe` (AgentTesla 信息窃取程序) | ## 🎯 结论与修复计划 * **结论:** 恶意(定向商业电子邮件妥协 + 间谍软件活动)。 * **修复措施:** 1. **网络层面:** 在边界邮件网关和企业防火墙处拦截恶意 IP `71.19.248.52`。 2. **端点层面:** 使用 SHA-256 哈希在全网络部署 IOC 扫描,以确保没有任何端点执行了该有效载荷。立即隔离任何受感染的主机。 3. **用户意识:** 将此事件标记为安全意识培训素材,重点强调所发现的特定威胁行为(欺骗域名及备用邮箱的借口)。
标签:AI合规, DAST, 威胁情报, 开发者工具, 恶意软件分析, 网络安全, 邮件取证, 防御加固, 隐私保护