edwii-78/Phishing-Email-Investigation-

GitHub: edwii-78/Phishing-Email-Investigation-

一份以真实 UPS 品牌伪造钓鱼邮件为案例的 SOC 风格完整调查报告,演示了邮件取证、威胁情报富化、IOC 提取与 MITRE ATT&CK 映射的全流程。

Stars: 0 | Forks: 0

# 🎣 钓鱼邮件调查 — UPS 品牌伪造攻击活动 一份完整的 SOC 风格真实钓鱼邮件调查报告,涉及伪造 **UPS** 品牌,涵盖邮件头取证、身份验证分析(SPF/DKIM/DMARC/ARC)、URL 和 HTML 分析、威胁情报富化、IOC 提取、攻击链重建以及 MITRE ATT&CK 映射。 ## 📌 概述 | | | |---|---| | **样本类型** | 凭据钓鱼邮件 (`.eml`) | | **伪造品牌** | UPS | | **攻击技术** | 鱼叉式钓鱼链接 (MITRE T1566.002) | | **传递基础设施** | 已通过身份验证的 Microsoft 365 / Exchange Online | | **最终落地域名** | `zoomertar.com` (VT 分类为钓鱼网站) | | **严重程度** | 高 | | **置信度** | 高 | 本项目演练了完整的分析师工作流 —— 从对渲染邮件的初步视觉分诊,到邮件头/身份验证取证,再到外部威胁情报关联(VirusTotal、AbuseIPDB、RDAP/WHOIS)—— 最后以事件评估和遏制建议结束,模拟了 SOC Tier 1/2 分析师记录真实钓鱼案件的方式。 ## 🙏 样本归属 本项目中分析的原始 `.eml` 样本来源于 **[rf-peixoto/phishing_pot](https://github.com/rf-peixoto/phishing_pot)**,这是一个开源的、由社区维护的真实钓鱼邮件存档,收集目的是为了研究和检测工程。原始样本收集的所有功劳均归该项目及其贡献者所有。 本仓库**没有**将样本重新托管为可实时打开的 `.eml` 文件(以避免重新触发邮件的追踪像素,或导致原始钓鱼 HTML 被 GitHub 的滥用扫描器标记)。如果您需要原始样本,请直接从上述源仓库中检索。 ## 🗂️ 仓库结构 ``` . ├── README.md ├── report/ │ └── Email_Phishing_Investigation_Report.pdf # Full written investigation report ├── evidence/ │ └── email-headers-defanged.txt # Full header dump, URLs defanged (hxxp / [.]) └── screenshots/ ├── 01-thunderbird-rendered-email.png ├── 02-vt-zoomertar-detection-summary.png ├── 03-vt-zoomertar-relations-graph.png ├── 04-vt-zoomertar-details-whois-ssl.png ├── 05-abuseipdb-199.192.27.195-check.png ├── 06-abuseipdb-199.192.27.195-whois.png ├── 07-vt-199.192.27.195-detection-summary.png ├── 08-vt-199.192.27.195-relations-graph.png ├── 09-vt-ali001-sarakzit-detection-summary.png ├── 10-abuseipdb-52.100.0.236-check.png ├── 11-abuseipdb-52.100.0.236-whois.png ├── 12-sender-reputation-52.100.0.236.png └── 13-vt-52.100.0.236-relations-graph.png ``` ## 🔬 方法论 1. **视觉分诊** – 在分析邮件头之前,先在 Thunderbird 中检查渲染后的 `.eml`,以捕获真实最终用户所看到的内容。 2. **邮件头取证** – 按正确的调查顺序分析 From、Return-Path、Subject、Date、Message-ID。 3. **身份验证分析** – 评估 SPF、DKIM、DMARC、ARC、CompAuth 和 SCL,以确定身份验证能证明什么——以及不能证明什么。 4. **基础设施分析** – 追踪发送 IP / SMTP 中继 / HELO 以确认传递路径。 5. **URL 和 HTML 分析** – 提取所有嵌入式链接,解析短链接重定向链,识别追踪像素和远程托管的品牌资产。 6. **威胁情报关联** – 通过 **VirusTotal**、**AbuseIPDB** 和 **RDAP/WHOIS** 查询来富化每个 IOC。 7. **IOC 提取与攻击链重建** – 将调查结果关联到一个单一的攻击者视角杀伤链中。 8. **MITRE ATT&CK 映射** – 将观察到的行为映射到 Enterprise ATT&CK 技术。 9. **事件评估与响应** – 严重程度/置信度评分,以及遏制、威胁狩猎和加固建议。 ## 🧰 使用的工具 - Mozilla Thunderbird(渲染 `.eml` 检查) - VirusTotal(检测结果、关系图、被动 DNS、历史 WHOIS/SSL) - AbuseIPDB(IP 信誉和 WHOIS) - RDAP / WHOIS 查询 - 手动邮件头和 HTML/URL 分析 - MITRE ATT&CK Navigator(技术映射) ## 🧾 关键妥协指标 (IOC) | 类型 | 指标 | 判定 | |---|---|---| | 域名 | `zoomertar[.]com` | 恶意 — 钓鱼(高置信度) | | 域名 | `ali001.sarakzit[.]za.com` | 攻击者控制的发件域名 | | IP | `199.192.27[.]195` | 可疑的共享/轮换托管基础设施 | | IP | `52.100.0[.]236` | 合法的 Microsoft 中继 — 仅用于狩猎侦察,**非恶意** | | URL 缩短器 | `t[.]co/f9tVtkdJm3` | 此次攻击活动中使用的恶意重定向 | | 发件人 | `Hoffman_John_49321@ali001.sarakzit[.]za.com` | 钓鱼发件人 | 每个指标的完整 IOC 表格、截图和分析师推理过程均位于 [`report/SOC_Phishing_Investigation_Report.md`](.report/Email_Phishing_Investigation_Report.pdf) 中。 ## 🎯 MITRE ATT&CK 映射 | 战术 | 技术 | ID | |---|---|---| | 初始访问 | 钓鱼 | T1566 | | 初始访问 | 鱼叉式钓鱼链接 | T1566.002 | | 执行 | 用户执行 | T1204 | | 凭据访问 | 输入捕获:Web 门户捕获 | T1056.007 | | 防御规避 | 可信关系 | T1199 | | 侦察 | 收集受害者身份信息 | T1589 | ## 📄 完整报告 包含执行摘要、邮件头/身份验证取证、针对每个 IOC 的威胁情报富化、攻击链重建、MITRE 映射以及遏制建议的完整报告可在此处获取: ➡️ **[SOC_Phishing_Investigation_Report.md](./report/SOC_Phishing_Investigation_Report.md)** ## ⚖️ 免责声明 本项目仅用于教育和防御性安全目的。它分析了一个公开可用的钓鱼样本,旨在演示 SOC 调查方法论。本项目不包含任何攻击性工具、漏洞利用代码或功能性恶意软件。所有 IOC 均为历史记录/已在适当处进行无害化处理。 ## 📬 作者 *在此处添加您的姓名、LinkedIn 和/或作品集链接。*
标签:威胁情报, 安全运营, 开发者工具, 扫描框架, 数字取证, 自动化脚本, 钓鱼邮件分析