abhiramyadav03/phishing-email-analysis-lab

GitHub: abhiramyadav03/phishing-email-analysis-lab

一个在隔离环境中使用行业标准工具对钓鱼邮件进行头部分析、身份验证检查和威胁情报调查的网络安全实战实验室项目。

Stars: 1 | Forks: 0

# 钓鱼邮件分析实验室 ## 概述 网络钓鱼仍然是网络犯罪分子窃取凭证、分发恶意软件和入侵用户账户最常用的攻击技术之一。 在这个实验室中,我在一个隔离的 Windows 10 虚拟机内调查了两个钓鱼邮件样本。我没有依赖单一指标,而是分析了邮件头,验证了 SPF、DKIM 和 DMARC 身份验证,检查了可疑的 PDF 附件,并使用 VirusTotal 确定每封邮件是否带有恶意。 该项目的目标是遵循类似于安全运营中心 (SOC) 分析师在处理钓鱼事件时使用的结构化调查流程。 ## 项目总结 - **已调查的钓鱼样本:** 2 - **凭证钓鱼样本:** 1 - **已分析的恶意附件:** 1 - **已分析的恶意 URL:** 1 - **威胁情报平台:** VirusTotal - **邮件头分析工具:** MXToolbox - **操作系统:** Windows 10 VM ## 攻击总结 | 样本 | 主题 | 攻击类型 | 载荷 (Payload) | | -------- | ------------------------ | ------------------- | --------------------- | | 样本 1 | Microsoft 安全警报 | 凭证钓鱼 | 恶意 URL | | 样本 2 | Bitcoin 交易 | 金融钓鱼 | Trojan PDF 附件 | ## 目标 - 分析可疑的钓鱼邮件 - 检查邮件头 - 验证 SPF、DKIM 和 DMARC 身份验证 - 识别发件人异常 - 分析可疑附件 - 提取入侵指标 (IOC) - 记录发现结果和建议措施 ## 实验环境 | 组件 | 详情 | |-----------|----------| | 操作系统 | Windows 10 虚拟机 | | 虚拟化环境 | VMware Workstation | | 邮件客户端 | Mozilla Thunderbird | | 邮件头分析 | MXToolbox | | 恶意软件分析 | VirusTotal | ## 使用的工具 - Mozilla Thunderbird - MXToolbox Email Header Analyzer - VirusTotal - VMware Workstation - Windows 10 虚拟机 ## 调查流程 对这两个钓鱼样本的调查遵循了结构化的工作流程: 1. 在 Mozilla Thunderbird 中打开可疑邮件。 2. 查看了发件人、主题和邮件内容。 3. 提取了完整的邮件头。 4. 使用 MXToolbox 分析了 SPF、DKIM 和 DMARC。 5. 检查了发件人和 Reply-To 地址。 6. 使用 VirusTotal 调查了钓鱼 URL 或附件。 7. 收集了入侵指标 (IOC)。 8. 记录了调查结果并给出了最终判定。 ## 样本 1 – Microsoft 账户钓鱼 ### 事件总结 第一封邮件冒充了 Microsoft 的安全团队,声称在收件人的账户上检测到了异常的登录活动。该邮件的目的是制造紧迫感,诱使受害者不加质疑其合法性地打开附带的恶意链接。 ### 邮件 ![样本 1](https://static.pigsec.cn/wp-content/uploads/repos/cas/1d/1db84a84929550fc7979204652ed02f22050fabcfa4237016171192a0a64218a.png) ### 邮件头分析 ![邮件头](https://static.pigsec.cn/wp-content/uploads/repos/cas/29/2998c72edba0e39192d231ad3e7bc5ee9f91951160bc5ba9fcb47620cabedd29.png) ### MXToolbox 结果 ![MXToolbox](https://static.pigsec.cn/wp-content/uploads/repos/cas/6b/6bef2505eaf98443154dc3d3c63aa1b6296e8eac541f5bc2f71ca89790980128.png) ### VirusTotal 分析 ![VirusTotal](https://static.pigsec.cn/wp-content/uploads/repos/cas/4f/4ff916b688c390ff219874cdc94459b177ebed7fcb3d5078a727ac6c6212a0f3.png) ### 检测结果 ![检测结果](https://static.pigsec.cn/wp-content/uploads/repos/cas/0d/0d391b70dfc9f9683bea540e3bb3af2936bb8fae7d264c9ccbe220964ab1c135.png) ### 调查发现 嵌入的 URL 已从邮件中安全提取,并在未访问目标地址的情况下使用 VirusTotal 进行了分析。VirusTotal 报告称,一家或多家安全供应商将该 URL 分类为钓鱼网站,这表明该链接可能被用于将受害者重定向到旨在窃取凭证的欺诈性网站。 结合未通过的 SPF、DKIM 和 DMARC 检查,分析结果强烈表明该邮件是一次凭证钓鱼尝试。 ### 风险评估 **严重程度:** 高 **原因** - 使用社会工程学操纵收件人。 - 包含恶意的钓鱼 URL。 - 企图窃取 Microsoft 账户凭证。 - VirusTotal 将嵌入的 URL 分类为可疑。 ## 钓鱼 URL 分析 该邮件包含一个伪装成 Microsoft 安全通知的恶意 URL。攻击者并没有直接投递恶意软件,而是试图将受害者重定向到一个钓鱼网站。 凭证钓鱼攻击通常使用与合法 Microsoft 登录门户极其相似的伪造登录页面。如果受害者输入了他们的用户名和密码,这些凭证将被直接发送给攻击者。 这些攻击严重依赖于紧迫感和信任而不是恶意软件,因此在调查过程中仔细检查邮件身份验证记录和 URL 显得尤为重要。 基于未通过的邮件身份验证检查、可疑的发件人信息以及 VirusTotal 的 URL 分析,该邮件被归类为**使用恶意钓鱼 URL 的凭证钓鱼攻击**。 ## 样本 2 – Bitcoin 交易钓鱼 ### 事件总结 与第一个样本不同,这封邮件并没有冒充 Microsoft。相反,它试图通过声称收到了一笔 Bitcoin 交易来吸引受害者的注意力。这是一种常见的社会工程技术,旨在利用人们的好奇心和对金钱的兴趣。 ### 邮件 ![样本 2](https://static.pigsec.cn/wp-content/uploads/repos/cas/e8/e80c79d51e615bfbe018d167c9d694c6840568fce8bff5fc802661358e1929b6.png) ### 邮件头分析 ![邮件头](https://static.pigsec.cn/wp-content/uploads/repos/cas/ac/acd430208534b9caee9f530af64296d930ad72a4c8771360a8485c7bfd73bae9.png) ### MXToolbox 结果 ![MXToolbox](https://static.pigsec.cn/wp-content/uploads/repos/cas/0f/0f3b6fc8ac711c1b41ea05de24db1162dadd9efc5b1ff2600f6cedc0c78a5239.png) ### VirusTotal 分析 ![VirusTotal](https://static.pigsec.cn/wp-content/uploads/repos/cas/cb/cb144bb8a722292f6f655ce3a424cf3d21a4e0aec540cf73aaae7798d491aa09.png) ### 调查发现 该邮件包含一个 PDF 附件,该附件已提交给 VirusTotal。多家安全供应商识别出该附件是恶意的,并将其与基于 Trojan 的钓鱼活动联系起来。 与 Microsoft 样本不同,攻击者依赖的是加密货币主题的诱饵,而不是伪造的安全通知。这表明钓鱼活动在追求相同目标的同时,会使用不同的社会工程技术:即说服用户与恶意内容进行交互。 基于附件分析和相关的威胁情报,该邮件被归类为**使用 Trojan PDF 附件的金融钓鱼攻击**。 ### 风险评估 **严重程度:** 高 **原因** - 使用社会工程学操纵收件人。 - 投递恶意的 PDF 附件。 - 可能导致凭证窃取或恶意软件感染。 ## 入侵指标 (IOC) | 指标 | 样本 1 | 样本 2 | |-----------|----------|----------| | 发件人 | 可疑 | 可疑 | | 主题 | Microsoft 账户警报 | Bitcoin 交易 | | 载荷 (Payload) | 恶意 URL | 恶意 PDF | | 威胁 | 凭证钓鱼 | Trojan PDF | | SPF | 未通过 | 通过 | | DKIM | 未通过 | 通过 | | DMARC | 未通过 | 未通过 | | VirusTotal | URL 分析 | 18/64 检出率 | 根据调查过程中观察到的技术,将这些钓鱼邮件映射到了 MITRE ATT&CK 框架。 ## MITRE ATT&CK 映射 | 技术 | ATT&CK ID | 描述 | |-----------|-----------|-------------| | Phishing | T1566 | 通过钓鱼邮件进行初始访问 | | Spearphishing Attachment | T1566.001 | 恶意 PDF 附件 | | User Execution | T1204 | 用户打开恶意附件 | | Masquerading | T1036 | Microsoft 品牌伪装 | # 安全建议 - 在打开意外附件之前验证发件人。 - 检查 SPF、DKIM 和 DMARC 身份验证是否失败。 - 使用多个安全引擎扫描可疑附件。 - 向安全团队报告钓鱼邮件。 - 启用多因素身份验证 (MFA)。 - 避免点击未经请求的邮件中的链接或打开其中的附件。 ## 经验教训 完成这个项目让我明白,钓鱼检测不能仅凭单一指标。一封邮件可能看起来合法,在某些情况下甚至能通过某些身份验证检查,但仍然会传递恶意内容。 这次调查再次印证了在确定一封邮件是否安全之前,结合邮件头分析、邮件身份验证、附件分析和威胁情报的重要性。 ## 展示的技能 - 邮件头分析 - 邮件身份验证 (SPF, DKIM, DMARC) - IOC 提取 - 威胁情报 - 恶意软件分析 - 附件分析 - VirusTotal 调查 - MXToolbox 分析 - 钓鱼检测 - 事件记录 - SOC 调查工作流 ## 关键要点 - 钓鱼邮件在追求相同目标的同时可以使用不同的主题。 - 仅靠邮件身份验证不足以判定合法性。 - 附件分析是钓鱼调查过程中的关键步骤。 - 结合多种证据来源可以提高检测准确性。 - 威胁情报平台提供了宝贵的上下文,但应与邮件头分析结合使用。 # 结论 这个项目让我获得了使用结构化 SOC 分析工作流调查钓鱼邮件的实践经验。通过分析两个不同的钓鱼活动,我了解了攻击者如何使用不同的社会工程技术来实现相同的目标——说服用户与恶意内容进行交互。 第一个样本冒充 Microsoft 的安全团队,通过将受害者引导至恶意的钓鱼 URL 来制造恐惧和紧迫感;而第二个样本则利用伪造的 Bitcoin 交易来引发好奇心,并投递恶意的 PDF 附件。尽管攻击技术不同,但这两次活动都依赖社会工程学来诱使受害者与恶意内容进行交互。 在整个调查过程中,我分析了邮件头,验证了 SPF、DKIM 和 DMARC 身份验证,检查了可疑附件,并提取了入侵指标 (IOC)。结合这些技术帮助我准确地判定这两封邮件都是恶意的。 这个项目加强了我对钓鱼分析、邮件安全和威胁调查的理解,同时也让我获得了 SOC 分析师在钓鱼分拣和事件响应中常用的工具和技术的实践经验。 ## 未来改进 该项目可以通过以下方式进行扩展: - 分析更多的钓鱼邮件样本。 - 对恶意附件执行沙箱分析。 - 为钓鱼指标创建 Sigma 检测规则。 - 使用 Python 自动化提取 IOC。 - 将钓鱼分析与 SIEM 平台(如 Splunk 或 Microsoft Sentinel)集成。 ## 免责声明 本项目仅出于教育和防御性网络安全目的而完成。所有钓鱼样本均在隔离的虚拟机中进行分析。本仓库不会重新分发任何恶意附件或活跃的钓鱼基础设施。 ## 👨‍💻 作者 **Abhiram Rapothula** 网络安全毕业生 | SOC 分析师爱好者 - GitHub: [abhiramyadav03](https://github.com/abhiramyadav03) - LinkedIn: [rapothulaabhiram](https://linkedin.com/in/rapothulaabhiram) - TryHackMe: [rapothula1907](https://tryhackme.com/p/rapothula1907)
标签:威胁情报, 安全实验室, 开发者工具, 数字取证, 自动化脚本, 邮件头分析, 钓鱼邮件分析