SathvikManuka/Phishing-Email-Analyser

GitHub: SathvikManuka/Phishing-Email-Analyser

一款基于 Python 的钓鱼邮件分析工具，通过解析邮件头、提取 IOC 并查询 VirusTotal 实现自动化威胁分流。

Stars: 0 | Forks: 0

# 📧 Phishing Email 分析器 ![Python](https://img.shields.io/badge/Python-3.8+-3776AB?style=flat&logo=python&logoColor=white) ![VirusTotal](https://img.shields.io/badge/VirusTotal-API-394EFF?style=flat) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red?style=flat) ![Blue Team](https://img.shields.io/badge/Blue-Team-1E8449?style=flat) ![License](https://img.shields.io/badge/License-MIT-green?style=flat) 一个基于 Python 的命令行工具，用于分析可疑的 `.eml` 文件。提取妥协指标 (IOC)，解析邮件头，并查询 **VirusTotal API** 以实现自动化的威胁情报富化 —— 帮助 SOC 分析师更快地对钓鱼邮件进行分流处理。 ## 🎯 威胁场景钓鱼邮件是最常见的初始访问媒介，对应于： | MITRE ATT&CK 技术 | ID | |---|---| | Phishing | T1566 | | Spearphishing Attachment | T1566.001 | | Spearphishing Link | T1566.002 | | Obtain Capabilities: Malware | T1588.001 | SOC 分析师收到了一封由用户标记的可疑邮件。此工具可自动执行首次响应分流：解析邮件头、提取所有 IOC，并利用 VirusTotal 对其进行情报富化 —— 显著减少人工分流的时间。 ## ⚙️ 功能 - **邮件头分析** — 提取 `From`、`Reply-To`、`Return-Path`、`Received`、`X-Originating-IP` - **IOC 提取** — 从 `.eml` 文件中提取 IP、域名、URL 以及 MD5/SHA256 文件哈希 - **VirusTotal 情报富化** — 自动为每个提取的 IOC 查询 VT API - **伪造检测** — 标记 `From` 显示名称与实际发送域名之间的不匹配 - **报告生成** — 输出结构化的 Markdown 分析报告 ## 📁 仓库结构 ``` Phishing-Email-Analyser/ ├── src/ │ └── email_analyser.py # Main analysis script ├── sample-data/ │ └── phishing_sample.eml # Sanitised phishing email for testing ├── reports/ │ └── sample_analysis_report.md # Example output report ├── screenshots/ │ └── tool_output.png # Terminal output screenshot ├── requirements.txt └── README.md ``` ## 🚀 安装与使用 ### 1. 克隆仓库 ``` git clone https://github.com/SathvikManuka/Phishing-Email-Analyser.git cd Phishing-Email-Analyser ``` ### 2. 安装依赖 ``` pip install -r requirements.txt ``` ### 3. 添加你的 VirusTotal API 密钥在根目录下创建一个 `.env` 文件： ``` VT_API_KEY=your_virustotal_api_key_here ``` ### 4. 运行分析工具 ``` python src/email_analyser.py --file sample-data/phishing_sample.eml ``` ### 示例输出 ``` ======================================== PHISHING EMAIL ANALYSER - IOC REPORT ======================================== [HEADERS] From : "PayPal Support" Reply-To : attacker@protonmail.com Return-Path : bounce@paypa1-secure.com ⚠️ SPOOFING DETECTED: Display name domain (paypal.com) ≠ Sending domain (paypa1-secure.com) [EXTRACTED IOCs] IPs : 192.168.1[.]45, 10.0.0[.]22 Domains : paypa1-secure[.]com, malicious-redirect[.]ru URLs : hxxps://paypa1-secure[.]com/login/update [VIRUSTOTAL RESULTS] paypa1-secure[.]com → 🔴 MALICIOUS (32/90 engines flagged) malicious-redirect[.]ru → 🔴 MALICIOUS (41/90 engines flagged) [VERDICT] ⚠️ HIGH CONFIDENCE PHISHING — Recommend blocking sender domain and reporting to abuse team. Report saved → reports/analysis_2024_report.md ``` ## 📊 示例分析报告请查看 [`reports/sample_analysis_report.md`](https://github.com/SathvikManuka/Phishing-Email-Analyser/blob/main/sample_analysis_report.md) 获取此工具生成的结构化输出的完整示例。 ## 🔧 工作原理 ``` .eml File Input │ ▼ Header Parsing (email.parser) │ ├──► Spoofing Check (From vs Reply-To vs Return-Path) │ ▼ IOC Extraction (regex) │ ├──► IPs, Domains, URLs, Hashes │ ▼ VirusTotal API Enrichment │ ├──► Malicious / Suspicious / Clean verdict per IOC │ ▼ Markdown Report Output ``` ## 📚 展示技能 - 用于安全自动化的 Python 脚本 - 邮件头取证与伪造检测 - 使用正则表达式提取 IOC - REST API 集成 (VirusTotal v3) - MITRE ATT&CK 框架映射 - SOC 分流工作流自动化 ## 📄 许可证 MIT License — 可免费用于教育和研究目的。

标签：IOC提取, Python, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 逆向工具, 邮件分析