Cyber-Nate/SOC-Phishing-Credential-Compromise

GitHub: Cyber-Nate/SOC-Phishing-Credential-Compromise

一份基于模拟环境的SOC网络钓鱼与凭据泄露事件调查报告,涵盖完整事件时间线、IOC分析与MITRE ATT&CK映射。

Stars: 1 | Forks: 0

# SOC 调查 — 鱼叉式网络钓鱼与凭据泄露 [![MITRE ATT&CK](https://img.shields.io/badge/MITRE%20ATT%26CK-T1566.001%20%7C%20T1078-red)](https://attack.mitre.org/techniques/T1566/001/) [![严重性](https://img.shields.io/badge/Severity-HIGH-orange)]() [![状态](https://img.shields.io/badge/Status-Resolved-brightgreen)]() **分析师:** Nathaniel T. Ogunjobi (AMICDFA, CBTP, CCEP, CTIGA) **项目:** NexSecure Cybersecurity Bootcamp — 最终项目 1 **事件 ID:** INC-2026-0303-001 **组织:** ABC Manufacturing Ltd *(模拟环境 — 训练营练习)* ## 摘要 一名财务员工点击了一个伪造的“验证您的邮箱”链接,在一个仿冒页面上输入了 Microsoft 365 凭据,攻击者在 2 分钟内从国外 IP 登录 — 由于没有启用 MFA,未能阻止该行为。攻击者设置了静默自动转发以窃取邮件。SIEM 在点击后 20 分钟通过**不可能旅行告警**捕获了该事件。账户被暂停,转发规则被清除,强制执行了 MFA — 在一小时内完成了全面遏制。 | | | |---|---| | **攻击媒介** | 鱼叉式网络钓鱼邮件 → 凭据收集页面 | | **根本原因** | 无 MFA + 无 DMARC/DKIM/SPF + 无安全意识培训 | | **检测方法** | SIEM 不可能旅行关联规则 | | **检测延迟** | 从点击到告警约 20 分钟 | | **遏制时间** | 从攻击者首次登录到账户锁定约 35 分钟 | | **MITRE ATT&CK** | `T1566.001` 鱼叉式网络钓鱼链接 · `T1078` 有效账户 | ## 事件时间线 ``` 09:10 Phishing email delivered "Action Required: Verify Your Mailbox Storage" 09:17 Victim clicks link → redirected to credential harvesting page 09:18 Credentials entered captured by attacker-controlled server 09:19 Attacker authenticates login from foreign IP (Eastern Europe) — no MFA gate 09:22 Successful M365 login attacker now inside the mailbox 09:25 Auto-forward rule created silent exfiltration to attacker@protonmail[.]com ───────────────────────────────────────────────────────────────────── 09:37 SIEM alert fires "Impossible Travel" — Nigeria → Eastern Europe in <5 min 09:45 L1 triage logs reviewed, IOCs confirmed, escalated to L2 09:52 Account suspended sessions revoked 10:05 Forwarding rule removed L2 cleans mailbox config 10:30 Password reset + MFA account re-enabled with controls in place ``` 查看 [`docs/incident-timeline.md`](docs/incident-timeline.md) 获取完整的带注释时间线,以及 [`docs/soc-investigation-report.md`](docs/soc-investigation-report.md) 获取正式报告。 ## 攻击成功的原因 这并不是一次复杂的攻击 — 它的成功是因为安全控制漏洞的叠加,而不是因为攻击者的技术高超: - 财务账户**没有 MFA** — 仅凭窃取的密码就足够了 - **伪造的发件人域** closely mimicked Microsoft's real domain - **基于紧迫感的社会工程学**("需要操作", "立即") - **没有 DMARC/DKIM/SPF** — 伪造的电子邮件顺利通过了电子邮件网关 - **没有安全意识培训** — 员工没有检查发件人域名或在点击前悬停查看链接的习惯 完整的根本原因分析见 [`docs/soc-investigation-report.md`](docs/soc-investigation-report.md#why-the-attack-succeeded)。 ## 攻陷指标 (IOCs) | 类型 | 值 | 备注 | |---|---|---| | 恶意 URL | `verify-mailboxms365[.]com/login` | 模拟 M365 登录的凭据收集页面 | | 攻击者 IP | `185.220.101.47` | 东欧 — 首次认证登录 | | 攻击者 IP | `45.153.160.2` | Tor 出口节点 — 次要会话 | | 伪造发件人 | `support@microsoftsupportalert[.]com` | 模仿 Microsoft 的相似域名 | | 转发规则 | `attacker@protonmail[.]com` | 恶意自动转发,在遭到攻陷后创建 | | SIEM 触发器 | 不可能旅行 — 尼日利亚 → 东欧,<5 分钟 | 地理速度关联规则 | 包含描述的完整 IOC 表格:[`iocs/ioc-table.csv`](iocs/ioc-table.csv) ## MITRE ATT&CK 映射 | 技术 ID | 名称 | 使用方式 | |---|---|---| | [T1566.001](https://attack.mitre.org/techniques/T1566/001/) | 网络钓鱼:鱼叉式钓鱼链接 | 通过伪造的 Microsoft IT 支持邮件发送恶意链接 | | [T1078](https://attack.mitre.org/techniques/T1078/) | 有效账户 | 使用窃取的凭据作为合法用户进行身份验证 — 没有启用 MFA 进行阻止 | 包含检测/缓解说明的完整映射:[`docs/mitre-attack-mapping.md`](docs/mitre-attack-mapping.md) ## SOC 响应 (L1 → L2) **L1 分诊** — 审查了不可能旅行告警,提取了 Azure AD 登录日志,确认了国外 IP 登录,发现了恶意转发规则,将其分类为**真实告警**,并进行上报。 **L2 响应** — 禁用该账户并撤销活动会话,清除转发规则,在防火墙和 Defender for Endpoint 中阻止了这两个攻击者 IP,将钓鱼域名加入黑名单,对攻陷时间窗口内的邮箱进行了审计,强制执行密码重置并注册 MFA,通知了财务部和 DPO,并对财务部其他人员针对相同的 IOC 进行了威胁狩猎。 完整的响应工作流:[`docs/soc-investigation-report.md`](docs/soc-investigation-report.md#soc-response-process) ## 建议 | # | 建议 | 优先级 | 时间线 | |---|---|---|---| | 1 | 在全组织范围内强制执行 MFA,尤其是财务/人力资源部门 | **关键** | 立即 | | 2 | 实施 DMARC, DKIM, SPF | 高 | 1 周 | | 3 | 部署高级电子邮件过滤 (Defender for O365 / ATP) | 高 | 1 周 | | 4 | 强制性安全意识培训 (识别网络钓鱼) | 高 | 2 周 | | 5 | 调优 SIEM 告警以应对不可能旅行 + 国外 IP 登录 | 中 | 2 周 | | 6 | 策略阻止外部自动转发 | 中 | 1 周 | | 7 | 每季度进行钓鱼模拟演练 | 低 | 持续进行 | ## 仓库结构 ``` . ├── README.md ├── docs/ │ ├── soc-investigation-report.md ← full formal incident report │ ├── incident-timeline.md ← minute-by-minute breakdown │ └── mitre-attack-mapping.md ← technique-level detail ├── iocs/ │ └── ioc-table.csv ← machine-readable IOC export └── evidence/ └── README.md ← index of sanitized log/screenshot evidence ``` ## 披露说明 本次调查是作为 NexSecure Cybersecurity Bootcamp 最终项目完成的。组织名称、员工和基础设施均为培训目的进行了**模拟** — 不代表任何真实的公司、个人或生产系统。IOC 按其出现在原始训练营场景中的情况进行记录,以用于方法论演示。 **作者:** [Nathaniel T. Ogunjobi](https://cybernatesec.netlify.app) — AMICDFA · CBTP 93% · CCEP 98% · CTIGA 90% SOC 分析师 · NexSecure Cybersecurity · 尼日利亚拉各斯
标签:IOC分析, SOC调查, 子域枚举, 报告文档, 漏洞修复, 网络安全培训, 网页分析工具, 防御加固