vivek13220/Phishing-Triage-Report
GitHub: vivek13220/Phishing-Triage-Report
一份模拟 PayPal 钓鱼campaign的事件响应分诊报告,展示从邮件分析到 IoC 提取再到遏制策略的完整 SOC 工作流程。
Stars: 0 | Forks: 0
# 钓鱼邮件分诊与事件响应报告
## 📌 项目概述
本项目模拟了安全运营中心 (SOC) 分析员响应可疑邮件报告的真实工作流程。在安全的 macOS 环境中,我对一封疑似钓鱼邮件进行了静态分析,提取了关键的入侵指标 (IoC),使用命令行工具调查了恶意基础设施,并撰写了一份包含可操作的遏制建议的正式事件报告。
### 🛠️ 展示的技能与工具
* **分析环境:** macOS (Terminal,原生文本处理)
* **OSINT 与网络工具:** 原生 `whois` 域名查询、MX Toolbox (模拟)
* **核心能力:** 邮件头分析、相似域名识别 (typosquatting)、IoC 防护处理以及战术性事件报告。
* **框架:** 标准 NIST SP 800-61 Rev. 2 事件处理指南(遏制、根除和恢复)。
### 📧 钓鱼邮件制品
在原始邮件文本中识别出了相似域名和紧急消息等关键指标:
### 💻 基础设施调查
在 macOS Terminal 中运行 `whois` 查询以验证域名创建日期:
# 网络安全事件报告:钓鱼邮件分诊
**日期:** 2026年7月13日
**分析员:** Vivek Patel
**严重程度:** 中
## 1. 执行摘要
2026年7月13日,识别出一封伪装成 PayPal 安全警报的可疑邮件。该邮件声称用户账户受到限制,企图引起恐慌,并诱导他们访问一个旨在窃取凭据的登录页面。
## 2. 指标提取 (IoC)
| 指标类型 | 值 |
| :--- | :--- |
| **发件人地址** | `secure-update@paypal-security-alert.com` |
| **发件人域名** | `paypal-security-alert.com` |
| **主题** | URGENT: Your account has been restricted! |
| **已防护 URL** | `hxxp://update-paypal-login-security[.]com/login/auth` |
## 3. 制品分析
* **邮件伪造:** 发件人地址使用了相似域名策略 (typosquatting) 来模仿合法的 PayPal 通信。
* **紧迫性:** 该邮件利用社会工程学手段,威胁将在 24 小时内永久关闭账户。
* **基础设施:** `whois` 查询显示该域名是近期注册的,这非常符合一次性钓鱼基础设施的特征。
## 4. 遏制与修复建议
为了降低进一步的风险,建议采取以下行动:
1. **网络封锁:** 在边界防火墙和 Web 代理上阻止发往和来自 `paypal-security-alert[.]com` 和 `update-paypal-login-security[.]com` 的入站/出站流量。
2. **邮件网关规则:** 从全球所有用户的收件箱中清除所有来自 `secure-update@paypal-security-alert.com` 的邮件。
3. **凭据重置:** 对任何与该链接有过交互的用户强制执行密码重置,并撤销其活动会话。
4. **用户意识:** 针对受此活动影响的部门,开展一次有针对性的钓鱼演练模拟。
### 💻 基础设施调查
在 macOS Terminal 中运行 `whois` 查询以验证域名创建日期:
# 网络安全事件报告:钓鱼邮件分诊
**日期:** 2026年7月13日
**分析员:** Vivek Patel
**严重程度:** 中
## 1. 执行摘要
2026年7月13日,识别出一封伪装成 PayPal 安全警报的可疑邮件。该邮件声称用户账户受到限制,企图引起恐慌,并诱导他们访问一个旨在窃取凭据的登录页面。
## 2. 指标提取 (IoC)
| 指标类型 | 值 |
| :--- | :--- |
| **发件人地址** | `secure-update@paypal-security-alert.com` |
| **发件人域名** | `paypal-security-alert.com` |
| **主题** | URGENT: Your account has been restricted! |
| **已防护 URL** | `hxxp://update-paypal-login-security[.]com/login/auth` |
## 3. 制品分析
* **邮件伪造:** 发件人地址使用了相似域名策略 (typosquatting) 来模仿合法的 PayPal 通信。
* **紧迫性:** 该邮件利用社会工程学手段,威胁将在 24 小时内永久关闭账户。
* **基础设施:** `whois` 查询显示该域名是近期注册的,这非常符合一次性钓鱼基础设施的特征。
## 4. 遏制与修复建议
为了降低进一步的风险,建议采取以下行动:
1. **网络封锁:** 在边界防火墙和 Web 代理上阻止发往和来自 `paypal-security-alert[.]com` 和 `update-paypal-login-security[.]com` 的入站/出站流量。
2. **邮件网关规则:** 从全球所有用户的收件箱中清除所有来自 `secure-update@paypal-security-alert.com` 的邮件。
3. **凭据重置:** 对任何与该链接有过交互的用户强制执行密码重置,并撤销其活动会话。
4. **用户意识:** 针对受此活动影响的部门,开展一次有针对性的钓鱼演练模拟。标签:威胁情报, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 邮件安全, 钓鱼攻击分析