taadithiya/phishing-email-investigation
GitHub: taadithiya/phishing-email-investigation
一个SOC风格的模拟钓鱼邮件调查项目,完整展示邮件取证、IOC提取、风险评估与MITRE ATT&CK映射的分析流程。
Stars: 0 | Forks: 0
# 钓鱼邮件调查
## 概述
本项目演示了对模拟钓鱼邮件的 SOC 风格调查。
分析重点包括发件人验证、域名不匹配、可疑语言、规避处理的 URL、IOC 提取、风险评估、MITRE ATT&CK 映射以及建议的响应措施。
## 目标
- 分析模拟钓鱼邮件
- 识别品牌冒充和域名仿冒
- 审查发件人与 Reply-To 不匹配问题
- 提取并记录威胁指标
- 评估钓鱼风险
- 将观察到的行为映射到 MITRE ATT&CK
- 记录建议的响应措施
- 保护隐私,避免使用真实的恶意内容
## 工具与方法
- 手动邮件分析
- IOC 提取
- Markdown 报告
- CSV 文档记录
- MITRE ATT&CK 映射
- GitHub
- 规避 URL 处理
## 邮件摘要
| 字段 | 观察 |
|---|---|
| 声称的发件人 | Microsoft Security |
| 发件人域名 | `micros0ft-support.example` |
| Reply-To 域名 | `secure-mail.example` |
| 主题 | 紧急 Microsoft 365 账户暂停警告 |
| 嵌入的 URL | `hxxps://microsoft-security-check[.]example/login` |
| 附件 | 无 |
| 风险评级 | 高 |
## 可疑指标
- Microsoft 365 品牌冒充
- 使用 `0` 代替 `o` 的仿冒发件人域名
- Reply-To 域名与发件人域名不一致
- 紧急账户暂停语言
- 要求立即进行账户验证
- 可疑的凭据验证链接
- 通用问候语
- 需要用户交互
## IOC 摘要
| 指标类型 | 指标 | 评估 |
|---|---|---|
| 发件人域名 | `micros0ft-support.example` | 模拟可疑 |
| Reply-To 域名 | `secure-mail.example` | 模拟可疑 |
| URL | `microsoft-security-check[.]example/login` | 规避处理的模拟指标 |
| 主题 | 紧急账户暂停警告 | 可疑的社会工程学语言 |
| 品牌 | Microsoft 365 | 被冒充 |
## MITRE ATT&CK 映射
| 技术 ID | 技术 | 证据 |
|---|---|---|
| T1566.002 | Phishing: Spearphishing Link | 邮件中嵌入的可疑验证链接 |
| T1204.001 | User Execution: Malicious Link | 鼓励收件人点击链接 |
## 风险评估
**总体评级:高**
潜在影响包括:
- 账户被盗
- 未经授权的邮箱访问
- 凭据重用
- 内部钓鱼
- 数据泄露
- 其他社会工程学攻击
## 建议响应
- 隔离邮件
- 不要点击链接
- 不要回复发件人
- 封锁相关域名
- 搜索类似邮件
- 审查 URL 点击遥测数据
- 如果访问了链接,请重置凭据
- 在怀疑被盗用时撤销活动会话
- 向安全团队报告事件
## 仓库结构
```
phishing-email-investigation
├── Evidence
├── IOCs
│ └── indicators.csv
├── Reports
│ ├── Initial-Analysis.md
│ ├── MITRE-ATTACK-Mapping.md
│ └── Risk-Assessment.md
├── Sample-Email
│ └── sample-phishing-email.txt
├── Screenshots
│ ├── 01-Simulated-Phishing-Email.png
│ ├── 02-IOC-Summary.png
│ └── 03-Initial-Phishing-Analysis.png
├── Tools
├── .gitignore
└── README.md
```
## 截图
### 模拟钓鱼邮件

### IOC 摘要

### 初始钓鱼分析

## 展示的技能
- 钓鱼邮件分析
- IOC 提取
- 邮件威胁评估
- 社会工程学分析
- MITRE ATT&CK 映射
- 安全报告
- 风险评估
- 安全处理可疑内容
- Git 和 GitHub 文档记录
## 安全提示
本项目使用模拟的钓鱼邮件和规避处理的指标。
未使用任何真实的恶意 URL、凭据收集页面或有害附件。
## 报告
- [初始分析](Reports/Initial-Analysis.md)
- [MITRE ATT&CK 映射](Reports/MITRE-ATTACK-Mapping.md)
- [风险评估](Reports/Risk-Assessment.md)
标签:IOC提取, Markdown报告, SOC分析, 威胁情报, 安全运营, 开发者工具, 扫描框架, 网络安全研究, 邮件安全, 钓鱼邮件分析, 防御加固