Nervi0z/phishing-analysis-ref

# 钓鱼分析参考 一份精选的工具、平台和资源列表，用于检测、分析和调查钓鱼攻击。 涵盖威胁情报源、URL/文件扫描器、电子邮件分析、沙箱、模拟框架和 OSINT 实用工具。作为 SOC 分析师、事件响应人员和安全研究人员的实时参考手册进行维护。 ## 目录 - [威胁情报与数据源](#threat-intelligence--data-sources) - [分析工具](#analysis-tools) - [预防与检测](#prevention--detection) - [模拟与意识培训](#simulation--awareness-training) - [辅助工具](#supporting-tools) - [学习资源](#learning-resources) - [贡献](#contributing) ## 术语表 | 术语 | 含义 | |------|---------| | IOC | 失陷指标 (Indicator of Compromise，如 URL、文件哈希、IP 等) | | Sandbox | 用于安全执行可疑文件或 URL 的隔离环境 | | MITM | 中间人攻击 (Man-in-the-Middle attack) | | OSINT | 开源情报 (Open Source Intelligence) | | FOSS | 自由及开源软件 (Free and Open Source Software) | | Gateway | 过滤控制点，本文中指针对电子邮件流量的过滤 | ## 威胁情报与数据源 ### 钓鱼源与数据库 | 工具 | 描述 | 模式 | 链接 | |------|-------------|-------|------| | **PhishTank** | 已验证钓鱼 URL 的协作数据库 | 免费/API | [phishtank.com](https://www.phishtank.com/) | | **OpenPhish** | 实时钓鱼 URL 源，高质量 | 商业/API | [openphish.com](https://openphish.com/) | | **CheckPhish** | 基于 AI 的钓鱼检测，支持 API 访问 | 免费增值/API | [checkphish.ai](https://checkphish.ai/) | | **MISP Project** | 用于关联和共享 IOC（包括钓鱼指标）的 FOSS 平台 | FOSS | [misp-project.org](https://www.misp-project.org/) | | **PhishStats** | 钓鱼活动的统计数据和信息 | 免费/API | [phishstats.info](https://phishstats.info/) | ### IP 与域名信誉 | 工具 | 描述 | 模式 | 链接 | |------|-------------|-------|------| | **AbuseIPDB** | 与恶意活动相关的 IP 协作数据库 | 免费增值/API | [abuseipdb.com](https://www.abuseipdb.com/) | | **VirusTotal** | 利用多个引擎和数据集检查 IP 和域名 | 免费增值/API | [virustotal.com](https://www.virustotal.com/) | | **Cisco Talos Reputation** | 来自 Cisco Talos 的 IP/域名信誉查询 | 免费 | [talosintelligence.com](https://talosintelligence.com/reputation_center) | | **URLVoid** | 跨多个信誉服务扫描 URL 和域名 | 免费增值/API | [urlvoid.com](https://www.urlvoid.com/) | | **IBM X-Force** | 具有 IP/URL/漏洞信誉功能的威胁情报门户 | 免费增值/API | [exchange.xforce.ibmcloud.com](https://exchange.xforce.ibmcloud.com/) | ## 分析工具 ### URL 与文件扫描器 | 工具 | 描述 | 模式 | 链接 | |------|-------------|-------|------| | **VirusTotal** | 利用多个 AV 引擎扫描 URL 和文件的事实标准 | 免费增值/API | [virustotal.com](https://www.virustotal.com/) | | **URLScan.io** | 扫描 URL 并返回有关页面内容和加载资源的详细信息 | 免费增值/API | [urlscan.io](https://urlscan.io/) | | **Any.Run** | 交互式在线沙箱，适合快速 URL/文件分类 | 免费增值 | [any.run](https://any.run/) | | **Hybrid Analysis** | 结合沙箱和静态分析的免费恶意软件分析服务 | 免费 | [hybrid-analysis.com](https://www.hybrid-analysis.com/) | | **ScanURL** | 独立的 URL 扫描 Web 服务 | 免费 | [scanurl.net](https://scanurl.net/) | ### 电子邮件分析 (标头、内容、附件) | 工具 | 描述 | 模式 | 链接 | |------|-------------|-------|------| | **MxToolbox Header Analyzer** | 简单直接的在线邮件标头解析器 | 免费 | [mxtoolbox.com/EmailHeaders.aspx](https://mxtoolbox.com/EmailHeaders.aspx) | | **Google Messageheader** | 来自 Google G Suite 工具箱的标头分析器 | 免费 | [toolbox.googleapps.com](https://toolbox.googleapps.com/apps/messageheader/) | | **PhishTool** | 集成电子邮件分析和 IOC 提取 | 商业 | [phishtool.com](https://phishtool.com/) | | **ThePhish** | 使用 TheHive/Cortex/MISP 的 FOSS 自动化 EML 分析框架 | FOSS | [GitHub](https://github.com/emalderson/ThePhish) | ### 沙箱 | 工具 | 描述 | 模式 | 链接 | |------|-------------|-------|------| | **Any.Run** | 交互式云沙箱，适合可视化分类 | 免费增值 | [any.run](https://any.run/) | | **Cuckoo Sandbox** | 标准的 FOSS 沙箱，用于自动化恶意软件分析，自托管 | FOSS | [cuckoosandbox.org](https://cuckoosandbox.org/) | | **Hybrid Analysis** | CrowdStrike 的免费在线沙箱 | 免费 | [hybrid-analysis.com](https://www.hybrid-analysis.com/) | | **Joe Sandbox Cloud** | 具有详细行为分析的商业沙箱 | 商业 | [joesandbox.com](https://www.joesandbox.com/) | | **Triage** | 恶意软件分析和沙箱平台 | 商业 | [tria.ge](https://tria.ge/) | ## 预防与检测 ### 电子邮件安全网关 企业解决方案，多为商业版： - **Proofpoint Email Protection** — 高级威胁防护，部署广泛 - **Mimecast Email Security** — 基于云，具备沙箱、URL/附件防护、DMARC 功能 - **Barracuda Email Protection** — 全套件，包括网关、DMARC 和 IR - **Microsoft Defender for Office 365** — 集成在 M365 中 - **Google Workspace Security** — 集成在 Gmail/Workspace 中，包括沙箱 - **Cofense** — 专注于用户报告的钓鱼、检测和响应 - **Avanan (Check Point)** — 针对 O365/Gmail 的云原生基于 API 的安全方案 ### 浏览器防护 | 工具 | 描述 | 模式 | |------|-------------|-------| | **Microsoft SmartScreen** | 内置于 Edge 和 Windows，拦截恶意网站和下载 | 内置 | | **Google Safe Browsing** | Chrome、Firefox 和 Safari 中的底层技术 | 内置/API | | **Netcraft Extension** | 用于钓鱼网站检测的浏览器扩展 | 免费 | | **uBlock Origin** | 通过过滤规则列表拦截已知恶意域名 | FOSS | ## 模拟与意识培训 ### 意识平台 用于培训最终用户的商业平台： - **KnowBe4** — 钓鱼模拟和安全意识培训 - **Cofense PhishMe** — 具有集成用户报告功能的模拟 - **Proofpoint Security Awareness Training** — 培训模块和模拟 - **Microsoft Attack Simulation Training** — 在 Microsoft 365 Defender 内部 - **GoPhish** — 可用于内部培训的 FOSS 框架（需手动设置） ### 钓鱼模拟框架 | 工具 | 描述 | 模式 | 链接 | |------|-------------|-------|------| | **GoPhish** | 用于创建和管理钓鱼模拟活动的 FOSS 标准 | FOSS | [getgophish.com](https://getgophish.com/) | | **SET (Social-Engineer Toolkit)** | 经典的 Python 社会工程学攻击框架 | FOSS | [GitHub](https://github.com/trustedsec/social-engineer-toolkit) | | **Evilginx2/3** | 用于捕获凭据和会话令牌（绕过 2FA）的高级 MITM 框架 | FOSS | [GitHub](https://github.com/kgretzky/evilginx2) | | **King Phisher** | 具有服务器管理功能的 FOSS 活动框架 | FOSS | [GitHub](https://github.com/rsmusllp/king-phisher) | | **CredSniper** | 用于构建窃取凭据登录页面的工具 | FOSS | [GitHub](https://github.com/ustayready/CredSniper) | ## 辅助工具 ### OSINT | 工具 | 描述 | 模式 | 链接 | |------|-------------|-------|------| | **Maltego** | 用于关系分析和 OSINT 的图形化平台 | 免费增值/商业 | [maltego.com](https://www.maltego.com/) | | **SpiderFoot** | OSINT 自动化工具，自托管或云端 | FOSS/商业 | [spiderfoot.net](https://www.spiderfoot.net/) | | **theHarvester** | 从公开来源收集电子邮件、子域名和主机 | FOSS | [GitHub](https://github.com/laramies/theHarvester) | | **Recon-ng** | Python 编写的模块化 OSINT 框架 | FOSS | [GitHub](https://github.com/lanmaster53/recon-ng) | ### 通用安全框架 | 工具 | 描述 | 模式 | 链接 | |------|-------------|-------|------| | **Metasploit Framework** | 漏洞利用开发和执行平台 | FOSS/商业 | [metasploit.com](https://www.metasploit.com/) | | **BeEF** | 浏览器漏洞利用框架，适用于分析钓鱼工具包 | FOSS | [beefproject.com](https://beefproject.com/) | ## 学习资源 ### 工作流示例 **快速 URL 分类：** `可疑 URL → URLScan.io 或 VirusTotal → 审查结果并分类` **钓鱼电子邮件分析：** `获取 EML → 解析标头 (MxToolbox) → 提取 IOC (URL, IP, 哈希) → 检查 IOC (VirusTotal, AbuseIPDB, PhishTank) → 在沙箱中分析附件/URL (Any.Run, Hybrid Analysis)` **活动调查：** `识别模式（主题、发件人、钓鱼工具包）→ 搜索威胁情报 (MISP, PhishStats) → 针对基础设施的 OSINT (Maltego, Recon-ng)` ### 参考资料 - [APWG 钓鱼活动趋势报告](https://apwg.org/trendsreports/) — 季度钓鱼趋势数据 - [MITRE ATT&CK — 钓鱼 (T1566)](https://attack.mitre.org/techniques/T1566/) — 该战术的技术分解 - [Phishing.org](https://www.phishing.org/) — 通用钓鱼参考 ### 相关列表 - [awesome-incident-response](https://github.com/meirwah/awesome-incident-response) - [awesome-threat-intelligence](https://github.com/hslatman/awesome-threat-intelligence) - [awesome-osint](https://github.com/jivoi/awesome-osint) - [awesome-soc](https://github.com/cyb3rxp/awesome-soc)

标签：AD攻击面, IOC指标, SOC分析, URL扫描, 威胁情报, 安全工具集, 库, 应急响应, 开发者工具, 恶意文件分析, 沙箱, 网络安全, 网络安全资源, 蓝队资源, 逆向工具, 邮件安全, 钓鱼攻击分析, 隐私保护