taadithiya/phishing-email-investigation

GitHub: taadithiya/phishing-email-investigation

一个SOC风格的模拟钓鱼邮件调查项目,完整展示邮件取证、IOC提取、风险评估与MITRE ATT&CK映射的分析流程。

Stars: 0 | Forks: 0

# 钓鱼邮件调查 ## 概述 本项目演示了对模拟钓鱼邮件的 SOC 风格调查。 分析重点包括发件人验证、域名不匹配、可疑语言、规避处理的 URL、IOC 提取、风险评估、MITRE ATT&CK 映射以及建议的响应措施。 ## 目标 - 分析模拟钓鱼邮件 - 识别品牌冒充和域名仿冒 - 审查发件人与 Reply-To 不匹配问题 - 提取并记录威胁指标 - 评估钓鱼风险 - 将观察到的行为映射到 MITRE ATT&CK - 记录建议的响应措施 - 保护隐私,避免使用真实的恶意内容 ## 工具与方法 - 手动邮件分析 - IOC 提取 - Markdown 报告 - CSV 文档记录 - MITRE ATT&CK 映射 - GitHub - 规避 URL 处理 ## 邮件摘要 | 字段 | 观察 | |---|---| | 声称的发件人 | Microsoft Security | | 发件人域名 | `micros0ft-support.example` | | Reply-To 域名 | `secure-mail.example` | | 主题 | 紧急 Microsoft 365 账户暂停警告 | | 嵌入的 URL | `hxxps://microsoft-security-check[.]example/login` | | 附件 | 无 | | 风险评级 | 高 | ## 可疑指标 - Microsoft 365 品牌冒充 - 使用 `0` 代替 `o` 的仿冒发件人域名 - Reply-To 域名与发件人域名不一致 - 紧急账户暂停语言 - 要求立即进行账户验证 - 可疑的凭据验证链接 - 通用问候语 - 需要用户交互 ## IOC 摘要 | 指标类型 | 指标 | 评估 | |---|---|---| | 发件人域名 | `micros0ft-support.example` | 模拟可疑 | | Reply-To 域名 | `secure-mail.example` | 模拟可疑 | | URL | `microsoft-security-check[.]example/login` | 规避处理的模拟指标 | | 主题 | 紧急账户暂停警告 | 可疑的社会工程学语言 | | 品牌 | Microsoft 365 | 被冒充 | ## MITRE ATT&CK 映射 | 技术 ID | 技术 | 证据 | |---|---|---| | T1566.002 | Phishing: Spearphishing Link | 邮件中嵌入的可疑验证链接 | | T1204.001 | User Execution: Malicious Link | 鼓励收件人点击链接 | ## 风险评估 **总体评级:高** 潜在影响包括: - 账户被盗 - 未经授权的邮箱访问 - 凭据重用 - 内部钓鱼 - 数据泄露 - 其他社会工程学攻击 ## 建议响应 - 隔离邮件 - 不要点击链接 - 不要回复发件人 - 封锁相关域名 - 搜索类似邮件 - 审查 URL 点击遥测数据 - 如果访问了链接,请重置凭据 - 在怀疑被盗用时撤销活动会话 - 向安全团队报告事件 ## 仓库结构 ``` phishing-email-investigation ├── Evidence ├── IOCs │ └── indicators.csv ├── Reports │ ├── Initial-Analysis.md │ ├── MITRE-ATTACK-Mapping.md │ └── Risk-Assessment.md ├── Sample-Email │ └── sample-phishing-email.txt ├── Screenshots │ ├── 01-Simulated-Phishing-Email.png │ ├── 02-IOC-Summary.png │ └── 03-Initial-Phishing-Analysis.png ├── Tools ├── .gitignore └── README.md ``` ## 截图 ### 模拟钓鱼邮件 ![模拟钓鱼邮件](https://static.pigsec.cn/wp-content/uploads/repos/cas/f3/f3e615bba02db8ac8e56996d4b74aaa4648d6314bc833c27496e26cba9255242.png) ### IOC 摘要 ![IOC 摘要](https://static.pigsec.cn/wp-content/uploads/repos/cas/2e/2e87b5c1ae1bc1ae78d7aa3c2e7753632038cadb2156840ffabcd1e5093430a1.png) ### 初始钓鱼分析 ![初始钓鱼分析](https://static.pigsec.cn/wp-content/uploads/repos/cas/81/812ba7ed6109707dc2654fcd329ec753c34f632b015afa9b277a3384865e8345.png) ## 展示的技能 - 钓鱼邮件分析 - IOC 提取 - 邮件威胁评估 - 社会工程学分析 - MITRE ATT&CK 映射 - 安全报告 - 风险评估 - 安全处理可疑内容 - Git 和 GitHub 文档记录 ## 安全提示 本项目使用模拟的钓鱼邮件和规避处理的指标。 未使用任何真实的恶意 URL、凭据收集页面或有害附件。 ## 报告 - [初始分析](Reports/Initial-Analysis.md) - [MITRE ATT&CK 映射](Reports/MITRE-ATTACK-Mapping.md) - [风险评估](Reports/Risk-Assessment.md)
标签:IOC提取, Markdown报告, SOC分析, 威胁情报, 安全运营, 开发者工具, 扫描框架, 网络安全研究, 邮件安全, 钓鱼邮件分析, 防御加固