Cyber-Nate/SOC-Phishing-Credential-Compromise
GitHub: Cyber-Nate/SOC-Phishing-Credential-Compromise
一份基于模拟环境的SOC网络钓鱼与凭据泄露事件调查报告,涵盖完整事件时间线、IOC分析与MITRE ATT&CK映射。
Stars: 1 | Forks: 0
# SOC 调查 — 鱼叉式网络钓鱼与凭据泄露
[](https://attack.mitre.org/techniques/T1566/001/)
[]()
[]()
**分析师:** Nathaniel T. Ogunjobi (AMICDFA, CBTP, CCEP, CTIGA)
**项目:** NexSecure Cybersecurity Bootcamp — 最终项目 1
**事件 ID:** INC-2026-0303-001
**组织:** ABC Manufacturing Ltd *(模拟环境 — 训练营练习)*
## 摘要
一名财务员工点击了一个伪造的“验证您的邮箱”链接,在一个仿冒页面上输入了 Microsoft 365 凭据,攻击者在 2 分钟内从国外 IP 登录 — 由于没有启用 MFA,未能阻止该行为。攻击者设置了静默自动转发以窃取邮件。SIEM 在点击后 20 分钟通过**不可能旅行告警**捕获了该事件。账户被暂停,转发规则被清除,强制执行了 MFA — 在一小时内完成了全面遏制。
| | |
|---|---|
| **攻击媒介** | 鱼叉式网络钓鱼邮件 → 凭据收集页面 |
| **根本原因** | 无 MFA + 无 DMARC/DKIM/SPF + 无安全意识培训 |
| **检测方法** | SIEM 不可能旅行关联规则 |
| **检测延迟** | 从点击到告警约 20 分钟 |
| **遏制时间** | 从攻击者首次登录到账户锁定约 35 分钟 |
| **MITRE ATT&CK** | `T1566.001` 鱼叉式网络钓鱼链接 · `T1078` 有效账户 |
## 事件时间线
```
09:10 Phishing email delivered "Action Required: Verify Your Mailbox Storage"
09:17 Victim clicks link → redirected to credential harvesting page
09:18 Credentials entered captured by attacker-controlled server
09:19 Attacker authenticates login from foreign IP (Eastern Europe) — no MFA gate
09:22 Successful M365 login attacker now inside the mailbox
09:25 Auto-forward rule created silent exfiltration to attacker@protonmail[.]com
─────────────────────────────────────────────────────────────────────
09:37 SIEM alert fires "Impossible Travel" — Nigeria → Eastern Europe in <5 min
09:45 L1 triage logs reviewed, IOCs confirmed, escalated to L2
09:52 Account suspended sessions revoked
10:05 Forwarding rule removed L2 cleans mailbox config
10:30 Password reset + MFA account re-enabled with controls in place
```
查看 [`docs/incident-timeline.md`](docs/incident-timeline.md) 获取完整的带注释时间线,以及 [`docs/soc-investigation-report.md`](docs/soc-investigation-report.md) 获取正式报告。
## 攻击成功的原因
这并不是一次复杂的攻击 — 它的成功是因为安全控制漏洞的叠加,而不是因为攻击者的技术高超:
- 财务账户**没有 MFA** — 仅凭窃取的密码就足够了
- **伪造的发件人域** closely mimicked Microsoft's real domain
- **基于紧迫感的社会工程学**("需要操作", "立即")
- **没有 DMARC/DKIM/SPF** — 伪造的电子邮件顺利通过了电子邮件网关
- **没有安全意识培训** — 员工没有检查发件人域名或在点击前悬停查看链接的习惯
完整的根本原因分析见 [`docs/soc-investigation-report.md`](docs/soc-investigation-report.md#why-the-attack-succeeded)。
## 攻陷指标 (IOCs)
| 类型 | 值 | 备注 |
|---|---|---|
| 恶意 URL | `verify-mailboxms365[.]com/login` | 模拟 M365 登录的凭据收集页面 |
| 攻击者 IP | `185.220.101.47` | 东欧 — 首次认证登录 |
| 攻击者 IP | `45.153.160.2` | Tor 出口节点 — 次要会话 |
| 伪造发件人 | `support@microsoftsupportalert[.]com` | 模仿 Microsoft 的相似域名 |
| 转发规则 | `attacker@protonmail[.]com` | 恶意自动转发,在遭到攻陷后创建 |
| SIEM 触发器 | 不可能旅行 — 尼日利亚 → 东欧,<5 分钟 | 地理速度关联规则 |
包含描述的完整 IOC 表格:[`iocs/ioc-table.csv`](iocs/ioc-table.csv)
## MITRE ATT&CK 映射
| 技术 ID | 名称 | 使用方式 |
|---|---|---|
| [T1566.001](https://attack.mitre.org/techniques/T1566/001/) | 网络钓鱼:鱼叉式钓鱼链接 | 通过伪造的 Microsoft IT 支持邮件发送恶意链接 |
| [T1078](https://attack.mitre.org/techniques/T1078/) | 有效账户 | 使用窃取的凭据作为合法用户进行身份验证 — 没有启用 MFA 进行阻止 |
包含检测/缓解说明的完整映射:[`docs/mitre-attack-mapping.md`](docs/mitre-attack-mapping.md)
## SOC 响应 (L1 → L2)
**L1 分诊** — 审查了不可能旅行告警,提取了 Azure AD 登录日志,确认了国外 IP 登录,发现了恶意转发规则,将其分类为**真实告警**,并进行上报。
**L2 响应** — 禁用该账户并撤销活动会话,清除转发规则,在防火墙和 Defender for Endpoint 中阻止了这两个攻击者 IP,将钓鱼域名加入黑名单,对攻陷时间窗口内的邮箱进行了审计,强制执行密码重置并注册 MFA,通知了财务部和 DPO,并对财务部其他人员针对相同的 IOC 进行了威胁狩猎。
完整的响应工作流:[`docs/soc-investigation-report.md`](docs/soc-investigation-report.md#soc-response-process)
## 建议
| # | 建议 | 优先级 | 时间线 |
|---|---|---|---|
| 1 | 在全组织范围内强制执行 MFA,尤其是财务/人力资源部门 | **关键** | 立即 |
| 2 | 实施 DMARC, DKIM, SPF | 高 | 1 周 |
| 3 | 部署高级电子邮件过滤 (Defender for O365 / ATP) | 高 | 1 周 |
| 4 | 强制性安全意识培训 (识别网络钓鱼) | 高 | 2 周 |
| 5 | 调优 SIEM 告警以应对不可能旅行 + 国外 IP 登录 | 中 | 2 周 |
| 6 | 策略阻止外部自动转发 | 中 | 1 周 |
| 7 | 每季度进行钓鱼模拟演练 | 低 | 持续进行 |
## 仓库结构
```
.
├── README.md
├── docs/
│ ├── soc-investigation-report.md ← full formal incident report
│ ├── incident-timeline.md ← minute-by-minute breakdown
│ └── mitre-attack-mapping.md ← technique-level detail
├── iocs/
│ └── ioc-table.csv ← machine-readable IOC export
└── evidence/
└── README.md ← index of sanitized log/screenshot evidence
```
## 披露说明
本次调查是作为 NexSecure Cybersecurity Bootcamp 最终项目完成的。组织名称、员工和基础设施均为培训目的进行了**模拟** — 不代表任何真实的公司、个人或生产系统。IOC 按其出现在原始训练营场景中的情况进行记录,以用于方法论演示。
**作者:** [Nathaniel T. Ogunjobi](https://cybernatesec.netlify.app) — AMICDFA · CBTP 93% · CCEP 98% · CTIGA 90%
SOC 分析师 · NexSecure Cybersecurity · 尼日利亚拉各斯
标签:IOC分析, SOC调查, 子域枚举, 报告文档, 漏洞修复, 网络安全培训, 网页分析工具, 防御加固