蓝队技能-应急响应篇钓鱼攻击邮件与文件EML还原蠕虫分析线索定性
知识点:
1、应急响应-钓鱼邮件-定性&排查
2、应急响应-恶意文件-应急&分析
一、演示案例-蓝队技能-钓鱼攻击-邮件&附件&分析&排查
如何分析邮件安全性:
1、看发信人地址
2、看发信内容信息
3、看发信内容附件
4、看邮件原文源码
邮件原文源码:
1、看指纹信息(什么发送工具平台)
2、看发送IP地址(服务器IP或攻击IP)
获取到IP或者域名都可以扔给威胁情报中心去分析
3、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)
4、可能存在个人的ID昵称用户名(利用社工的技术手段进行画像)
附件文件:
沙盒运行,进程分析,定性排查,逆向分析(核心)等
沙箱平台分析:https://s.threatbook.com/
逆向手工分析:https://mp.weixin.qq.com/s/gFbewpQrWNTnsVpDzI1OQw
大量样本分析文章:https://xz.aliyun.com/u/3314
二、真实案例-钓鱼邮件关联出定性木马事件-EML分析还原与文件定性
1、钓鱼邮件定性(威胁情报分析、人工分析)
2、定性攻击目的(发信人、内容、附件三方面分析)
可以把exe上传到云沙箱进行分析,也可以手工分析辅助验证。
从目前沙箱平台和人工分析可以看出这个exe做了启动项和C2上线,但是还做了其他什么就不知道了,如果想要更深入了解就需要对这个exe进行逆向源码分析。
可以参考别人逆向这个exe的文章:https://mp.weixin.qq.com/s/gFbewpQrWNTnsVpDzI1OQw
三、真实案例-HW真实样本
往往很多时候都是只给一个eml文件,让你去分析。
如果发件人信息没什么收获,可以看看邮件内是否包含内容附件等。
