edwii-78/Phishing-Email-Investigation-
GitHub: edwii-78/Phishing-Email-Investigation-
一份以真实 UPS 品牌伪造钓鱼邮件为案例的 SOC 风格完整调查报告,演示了邮件取证、威胁情报富化、IOC 提取与 MITRE ATT&CK 映射的全流程。
Stars: 0 | Forks: 0
# 🎣 钓鱼邮件调查 — UPS 品牌伪造攻击活动
一份完整的 SOC 风格真实钓鱼邮件调查报告,涉及伪造 **UPS** 品牌,涵盖邮件头取证、身份验证分析(SPF/DKIM/DMARC/ARC)、URL 和 HTML 分析、威胁情报富化、IOC 提取、攻击链重建以及 MITRE ATT&CK 映射。
## 📌 概述
| | |
|---|---|
| **样本类型** | 凭据钓鱼邮件 (`.eml`) |
| **伪造品牌** | UPS |
| **攻击技术** | 鱼叉式钓鱼链接 (MITRE T1566.002) |
| **传递基础设施** | 已通过身份验证的 Microsoft 365 / Exchange Online |
| **最终落地域名** | `zoomertar.com` (VT 分类为钓鱼网站) |
| **严重程度** | 高 |
| **置信度** | 高 |
本项目演练了完整的分析师工作流 —— 从对渲染邮件的初步视觉分诊,到邮件头/身份验证取证,再到外部威胁情报关联(VirusTotal、AbuseIPDB、RDAP/WHOIS)—— 最后以事件评估和遏制建议结束,模拟了 SOC Tier 1/2 分析师记录真实钓鱼案件的方式。
## 🙏 样本归属
本项目中分析的原始 `.eml` 样本来源于 **[rf-peixoto/phishing_pot](https://github.com/rf-peixoto/phishing_pot)**,这是一个开源的、由社区维护的真实钓鱼邮件存档,收集目的是为了研究和检测工程。原始样本收集的所有功劳均归该项目及其贡献者所有。
本仓库**没有**将样本重新托管为可实时打开的 `.eml` 文件(以避免重新触发邮件的追踪像素,或导致原始钓鱼 HTML 被 GitHub 的滥用扫描器标记)。如果您需要原始样本,请直接从上述源仓库中检索。
## 🗂️ 仓库结构
```
.
├── README.md
├── report/
│ └── Email_Phishing_Investigation_Report.pdf # Full written investigation report
├── evidence/
│ └── email-headers-defanged.txt # Full header dump, URLs defanged (hxxp / [.])
└── screenshots/
├── 01-thunderbird-rendered-email.png
├── 02-vt-zoomertar-detection-summary.png
├── 03-vt-zoomertar-relations-graph.png
├── 04-vt-zoomertar-details-whois-ssl.png
├── 05-abuseipdb-199.192.27.195-check.png
├── 06-abuseipdb-199.192.27.195-whois.png
├── 07-vt-199.192.27.195-detection-summary.png
├── 08-vt-199.192.27.195-relations-graph.png
├── 09-vt-ali001-sarakzit-detection-summary.png
├── 10-abuseipdb-52.100.0.236-check.png
├── 11-abuseipdb-52.100.0.236-whois.png
├── 12-sender-reputation-52.100.0.236.png
└── 13-vt-52.100.0.236-relations-graph.png
```
## 🔬 方法论
1. **视觉分诊** – 在分析邮件头之前,先在 Thunderbird 中检查渲染后的 `.eml`,以捕获真实最终用户所看到的内容。
2. **邮件头取证** – 按正确的调查顺序分析 From、Return-Path、Subject、Date、Message-ID。
3. **身份验证分析** – 评估 SPF、DKIM、DMARC、ARC、CompAuth 和 SCL,以确定身份验证能证明什么——以及不能证明什么。
4. **基础设施分析** – 追踪发送 IP / SMTP 中继 / HELO 以确认传递路径。
5. **URL 和 HTML 分析** – 提取所有嵌入式链接,解析短链接重定向链,识别追踪像素和远程托管的品牌资产。
6. **威胁情报关联** – 通过 **VirusTotal**、**AbuseIPDB** 和 **RDAP/WHOIS** 查询来富化每个 IOC。
7. **IOC 提取与攻击链重建** – 将调查结果关联到一个单一的攻击者视角杀伤链中。
8. **MITRE ATT&CK 映射** – 将观察到的行为映射到 Enterprise ATT&CK 技术。
9. **事件评估与响应** – 严重程度/置信度评分,以及遏制、威胁狩猎和加固建议。
## 🧰 使用的工具
- Mozilla Thunderbird(渲染 `.eml` 检查)
- VirusTotal(检测结果、关系图、被动 DNS、历史 WHOIS/SSL)
- AbuseIPDB(IP 信誉和 WHOIS)
- RDAP / WHOIS 查询
- 手动邮件头和 HTML/URL 分析
- MITRE ATT&CK Navigator(技术映射)
## 🧾 关键妥协指标 (IOC)
| 类型 | 指标 | 判定 |
|---|---|---|
| 域名 | `zoomertar[.]com` | 恶意 — 钓鱼(高置信度) |
| 域名 | `ali001.sarakzit[.]za.com` | 攻击者控制的发件域名 |
| IP | `199.192.27[.]195` | 可疑的共享/轮换托管基础设施 |
| IP | `52.100.0[.]236` | 合法的 Microsoft 中继 — 仅用于狩猎侦察,**非恶意** |
| URL 缩短器 | `t[.]co/f9tVtkdJm3` | 此次攻击活动中使用的恶意重定向 |
| 发件人 | `Hoffman_John_49321@ali001.sarakzit[.]za.com` | 钓鱼发件人 |
每个指标的完整 IOC 表格、截图和分析师推理过程均位于 [`report/SOC_Phishing_Investigation_Report.md`](.report/Email_Phishing_Investigation_Report.pdf) 中。
## 🎯 MITRE ATT&CK 映射
| 战术 | 技术 | ID |
|---|---|---|
| 初始访问 | 钓鱼 | T1566 |
| 初始访问 | 鱼叉式钓鱼链接 | T1566.002 |
| 执行 | 用户执行 | T1204 |
| 凭据访问 | 输入捕获:Web 门户捕获 | T1056.007 |
| 防御规避 | 可信关系 | T1199 |
| 侦察 | 收集受害者身份信息 | T1589 |
## 📄 完整报告
包含执行摘要、邮件头/身份验证取证、针对每个 IOC 的威胁情报富化、攻击链重建、MITRE 映射以及遏制建议的完整报告可在此处获取:
➡️ **[SOC_Phishing_Investigation_Report.md](./report/SOC_Phishing_Investigation_Report.md)**
## ⚖️ 免责声明
本项目仅用于教育和防御性安全目的。它分析了一个公开可用的钓鱼样本,旨在演示 SOC 调查方法论。本项目不包含任何攻击性工具、漏洞利用代码或功能性恶意软件。所有 IOC 均为历史记录/已在适当处进行无害化处理。
## 📬 作者
*在此处添加您的姓名、LinkedIn 和/或作品集链接。*
标签:威胁情报, 安全运营, 开发者工具, 扫描框架, 数字取证, 自动化脚本, 钓鱼邮件分析