文章总结: 文档涵盖TryHackMeSOC模块中的网络钓鱼分析,详述了邮件协议、头部与正文分析及常见钓鱼手法(如BEC、凭证窃取)。通过真实案例演示识别伪造地址、恶意链接与附件的方法,并推荐邮件头解析、URL信誉查询及恶意软件沙箱等工具,为安全分析师提供全面的钓鱼邮件研判与应急响应指导。 综合评分: 92 文章分类: 社会工程学,安全运营,安全培训,安全工具,网络安全
网络钓鱼的类型
现在我们已经了解了电子邮件的基本概念以及电子邮件如何从发件人发送到收件人,接下来我们可以讨论一下这种通信方式是如何被用于不法目的的。
不同类型的恶意电子邮件可以归为以下几类:
- 垃圾邮件——未经请求而批量发送给大量收件人的垃圾邮件。垃圾邮件中更具恶意性的变种被称为恶意垃圾邮件(MalSpam)。
- 网络钓鱼 —— 向目标发送伪装成可信实体的电子邮件,诱骗个人提供敏感信息。
- 鱼叉式网络钓鱼 —— 通过针对特定个人或组织, 获取敏感信息,从而将网络钓鱼提升到一个新的层次。
- 鲸钓 攻击类似于鱼叉式网络钓鱼,但它专门针对 C 级高层人员(CEO、CFO 等),其目的相同。
- 短信钓鱼——通过向移动用户发送精心制作的短信, 将网络钓鱼活动转移到移动设备上。
- Vishing 与 smishing 类似,但攻击不是通过短信进行社会工程攻击,而是基于语音通话。
就网络钓鱼而言,其作案手法通常相同,具体取决于电子邮件的目的。
例如,目标可能是获取凭证,也可能是获取对计算机的访问权限。
以下是网络钓鱼邮件的典型共同特征:
- 发件人电子邮件地址 将伪装成可信实体(电子邮件欺骗)。
- 电子邮件的主题行和/或正文(文本)写得带有紧迫感,或者使用了某些关键词,例如发票、暂停等。
- 邮件正文(HTML格式)的设计旨在与可信实体(例如亚马逊)保持一致。
- 邮件正文(HTML)格式或编写质量差(与前一点相反)。
- 电子邮件正文使用通用内容,例如尊敬的先生/女士。
- 超链接 (通常使用 URL 缩短服务来隐藏其真实来源)
- 伪装成合法文件的恶意附件
我们将在网络钓鱼模块的下一个房间里更详细地研究每一种技术(特征)。
提醒:处理超链接和附件时,请务必小心,避免误触超链接或附件。
超链接和 IP 地址应该进行“去威胁化”。去威胁化是指使 URL/域名或电子邮件地址无法点击,以避免意外点击,从而防止严重的安全漏洞。它会将电子邮件中的特殊字符(例如“@”或 URL 中的“.”)替换为其他字符。例如,一个高度可疑的域名http://www.suspiciousdomain.com将被替换为 hxxp[://]www[.]suspiciousdomain[.]com,然后再将其转发给安全运营中心(SOC)团队进行检测。Cyber Chef是一个很棒的去威胁化工具,可以帮助您完成这项工作,不妨用它来解答以下问题!
分析email3.eml虚拟机中标题为“电子邮件”的内容,并回答以下问题。
注:Alexa是受害者,Billy是负责此案的分析员。Alexa将邮件转发给了Billy进行分析。
下面是email3.eml原文
Received:from10.253.62.157
by atlas102.free.mail.gq1.yahoo.com with HTTPS; Sun,11 Jul 202111:48:13+0000
Return-Path:<[email protected]>
X-Originating-Ip:[103.234.236.83]
Received-SPF:pass(domain of teckbe.com designates 103.234.236.83as permitted sender)
Authentication-Results: atlas102.free.mail.gq1.yahoo.com;
dkim=pass [email protected] header.s=dk2048;
spf=pass smtp.mailfrom=teckbe.com;
dmarc=pass(p=NONE) header.from=teckbe.com;
X-Apparently-To: [email protected]; Sun,11 Jul 202111:48:13+0000
X-YMailISG: Pcp93.8WLDsI7m7VAEQNtYkM0dxkhTUX7phGwD48dol2XbE6
Gitw2BzR4.EbK_9AXnvitnLaw5SvIEJkYjoOdGtzUNCsEv4L8wXy3dH_YRDa
IavIwk2O8zfqo6DGTbXvbnKGtofLyNq10jbq.mo_GxL.A_v8Jnun3AEzT3Co
WVJUfluM7mXYoTLJfzJEds6aHURixFpsOQv1FolH.GVwHig2bP1OxQS8ebjz
P0F22tbs6cMyP9mfeE7L5.DpFRkkLT4y44wtQzXEJP.TBQx1dZBhG7jvXIiW
o_FKijsUktrJL.pO3zECvhBMhD8DSilWrKf19yOmxEcOENNq5HCpJVPPYEcM
pRwOW0MnetIebnbhyzTV0zh_6Ghl72Kd8Ca_FywptoMCyW8m7TGwZjO1jws3
FVI5WgNGF7gsWo9peDCSBWg_Jga.QAGUib7edzcb0ICdfbsmkJ78wSDxqyqA
XyZJIKJ3ZioZt4plAqWC0qSCrktJT2wzyltoaxvn8lbU1NQ_76VBnLEefQsB
K6OeEhu4xnUFSK6BhIMFlvrlsJ2ydX.C2dURnXH7mGGBwGDuTvhDx_GPI4Ys
.kOaOqoU2KEn59DhJqUAGETpvHhJvIyxVcbiUM.ZiNTv5cp3lwefZXnIQVuv
D2PEVe9X0HJQetIZQMT2GLBmEqoY27fjtFcSWU_go99f2U2dDAahpALa7sac
mU.kXpWFYCuL4HRW5BiOupaJvQxxAfUnmHzOUymx24yG_6EwqN0kxZQy6g0v
qjXTvGnBhec_KmEqv7g2a.GA7D.2uRDTefpXbI_I5w2tYoJtITUYVxosEJpr
pyVIO.tPQmAGXaMQvqrO5Zlc4uLcMt0YcWOoKNhN8FLoXpzrB8EZI5H.9A1x
vpV_C4e.0qHFg4vETxu_i_yl6mm86OYxkLTYatkunIDy9HulJwrG0F7bm7DP
uXjsmGo_.lN923Rg9uS0lxJAUcLc3jIVuVS_wgQ6JgYhymsMoM_6y.dO10DG
vkRPM93iuFW9iufqFLqMG0nwQs8_9nSMKZfxNH3yd.2RMWiVtB.45G7aKd1D
1h9zOVIy5Z2VldEGwkmtmSKRtkSJNvUFlhOwVcebCs5m4NNXc.3P.xLdIwMk
NDOulFBVPNCmzQyzPIaMveQLR6TpPdjSgFYEJRH6A0xUfkbMOFWdcwJCgIf9
5WoRSWXiVqowv55dX.DfzPh8N8mpPMOvZBT05STrG9njEWn0IY85xg--
Received:from103.234.236.83(EHLO tcbe-236083.teckbe.com)
by 10.253.62.157with SMTP;
Sun,11 Jul 202111:48:13+0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=teckbe.com;
q=dns/txt; s=dk2048; bh=Rt+hq+u7yxCX30ZlHx9KSFWFNdrRxFCi6/V54F4VuAI=;
h=from:reply-to:subject:to:mime-version:content-type:content-transfer-encoding:list-unsubscribe;
b=Hqh9q7comz8ABZhkUYUnXLmXLhksUBky1IEInhysFNPo5Yl0B6oldn9/jCCe+rJUXDNpOo4W6
KQq2okdMZ8XpIvNEq5yAWboBtBlog+8qYcQPbRjcEToW4kwWdq21D9neKZR/eiiadneR6qjl+RX
YXjVaKA1bDJ1HBZFWx5TakL0hRjzSf8Q/JMVq7kZvOs6UDAwiUltSQ6SSC1KtwDc76MzqHC1bmk
ZGEH2Qm5Z6KpcQULBHj4KKynb13jBRRU5aX/aqGCMC9UIQn+YqyzMqfSz02oKd8hf8Az8pl5lWX
g4lF1c+4rhhJWlNhScA9bcQ9jZezlYaBpsaMr00Ap5XA==
Content-Type: text/html; charset=UTF-8
From:=?UTF-8?B?VGhhbmsgeW91ISBIb21lIERlcG90?=<[email protected]>
To: [email protected]
Reply-To: [email protected]
Subject:=?UTF-8?B?T3JkZXIgUGxhY2VkIDogWW91ciBPcmRlciBJRCBPRDIzMjE2NTcwODkyOTEgUGxhY2VkIFN1Y2Nlc3NmdWxseQ==?=
Message-ID:<tkbe_204456168_28443456_28260243_2164817_269_520_5436.1626003191881.com.root@tcbe-236083.teckbe.com>
X-Mailer:<[email protected]>
X-Complaints-To:<[email protected]>
List-Unsubscribe: http://t.teckbe.com/p/?j3=EOowFcEwFHl6EOAyFcoUFVTVEchwFHlUFOo6MjL6EbTT
Content-Transfer-Encoding: quoted-printable
Date: Sun,11 Jul 202111:43:46 GMT
MIME-Version:1.0
Content-Length:2681
<meta http-equiv=3D'Content-Type' content=3D'text/html; charset=3DUTF-8'><c=
enter><html>=0A <head></head>=0A <body>=0A <table style=3D"max-width:600px=
; table-layout:fixed; margin:0 auto; padding:15px 0px;text-align:center;" w=
idth=3D"100%" cellspacing=3D"0" cellpadding=3D"0" border=3D"0" align=3D"cen=
ter"> =0A <tbody> =0A <tr> =0A <td align=3D"center"><a href=3D"htt=
p://t.teckbe.com/p/?j3=3DEOowFcEwFHl6EOAyFcoUFVTVEchwFHlUFOo6MGTTDc0=3D" st=
yle=3D"color:#666666;">Unsubscribe</a>|<a href=3D"http://t.teckbe.com/p/?=
j3=3DEOowFcEwFHl6EOAyFcoUFVTVEchwFHlUFOo6LVTTDc0=3D" style=3D"color:#666666=
;">Report Spam</a></td>=0A </tr>=0A </tbody>=0A </table>=0A <met=
a http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-8"/>=0A=
<title>Untitled Document</title>=0A <table style=3D"table-layout:fixed;=
margin:0 auto;" width=3D"602" cellspacing=3D"0" cellpadding=3D"0" border=
=3D"0" align=3D"center">=0A <tbody>=0A <tr>=0A <td><a href=3D"=
http://t.teckbe.com/p/?j3=3DEOowFcEwFHl6EOAyFcoUFVTVEchwFHlUFOo6lVTTDcATE7o=
UE7AUET=3D=3D" style=3D"outline:none; border:0px;"><img alt=3D"" style=3D"d=
isplay:block;" border=3D"0" align=3D"bottom" src=3D"http://img.teckbe.com/i=
/012021/161115137288_1.jpg" /></a></td>=0A </tr>=0A <tr>=0A <t=
d style=3D"padding-top:30px; padding-bottom:30px;" bgcolor=3D"#ee7125" alig=
n=3D"center"><a href=3D"http://t.teckbe.com/p/?j3=3DEOowFcEwFHl6EOAyFcoUFV=
TVEchwFHlUFOo6lVTTDcATE7oUE7AUET=3D=3D" style=3D"color: white; font-size:24=
px; font-weight:bold;">- CLICK HERE</a><br /></td>=0A </tr>=0A <t=
r>=0A <td align=3D"center"><a href=3D"http://t.teckbe.com/p/?j3=3DEOo=
wFcEwFHl6EOAyFcoUFVTVEchwFHlUFOo6lVTTDcATE7oUE7AUET=3D=3D" style=3D"outline=
:none; border:0px;"><img alt=3D"" style=3D"display:block;" border=3D"0" ali=
gn=3D"bottom" src=3D"http://img.teckbe.com/i/012021/161115137288_2.jpg"/><=
/a></td>=0A </tr>=0A </tbody>=0A </table>=0A <table style=3D"tab=
le-layout:fixed; margin:0 auto;" width=3D"600" cellspacing=3D"0" cellpaddin=
g=3D"0" border=3D"0" align=3D"center">=0A <tbody>=0A <tr>=0A <t=
d style=3D"font-size:14px;line-height:18px; padding-top:20px;" align=3D"cen=
ter"> If you wish to unsubscribe <a href=3D"http://t.teckbe.com/p/?j3=3DEOo=
wFcEwFHl6EOAyFcoUFVTVEchwFHlUFOo6lVTTDcATE7oUE7AUFo=3D=3D">click here</a><=
br />Or you may write to : Space Tree Technologies at P.O. Box 4213,Nevada,=
US <br /></td>=0A </tr>=0A </tbody>=0A </table>=0A </body>=0A</h=
tml></center><img alt=3D'' src=3D'http://t.teckbe.com/p/?j3=3DEOowFcEwFHl6E=
OAyFcoUFVTVEchwFHlUFOo6KVTTDc0=3D' height=3D'0px' width=3D'0px'>
{"mode":"full","isActive":false}
请回答以下问题。
这封邮件冒充的是哪个可信机构?
</strong>:</p>
<p><img decoding=)
选择您的电子邮件提供商以查看文档
此邮件示例将重点介绍以下技巧:
- 紧急
- 使用 HTML 冒充合法品牌
- 链接操作
- 凭证收集
- 语法错误和/或拼写错误
让我们仔细看看……
2020-06-25
提交密码两次的用户的电子邮件地址是什么?
直接找到他的log日志文件即可知道,搜索两次出现过提交密码的用户即可
[email protected]
攻击者使用哪个电子邮件地址收集了泄露的凭证?
意思是这些提交的密码最终送到了谁的邮箱手里,那这样的话我们需要解压压缩包审计代码了
出现了两个邮箱,然后可以注意到一个叫resubmit.php的文件有一个send变量,简单查看一下该文件
可以了解到那些提交了账密的信息都发送到了这个邮箱里面了
[email protected]
攻击者在获取的钓鱼工具包中使用了其他电子邮件地址。以“ @gmail.com”结尾的电子邮件地址是什么?
既然说了是gmail了,那我们直接筛选就好了
[email protected]
隐藏的标志是什么? 这里应该是要找flag吧,一般都是没有头绪的,直接看答案就是:拼接flag.txt文件,地址是:
http://kennaroads.buzz/data/Update365/office365/flag.txt
那也就是说这里需要用到目录扫描工具,但是最好还是看答案吧,开启的机器实在是太慢了,而且这个域名也不是我们在自己的机子上能访问到的,所以比较麻烦
一眼base64
解密
发现好像顺序不对,reverse一下看看
THM{pL4y_w1Th_tH3_URL}
接下去应该还有一个靶场但是这里略过了,我自己做完感觉没啥能值得说的,都是一些一眼能看出来是否是误报是否为真实攻击的内容,直接进入下一个篇章
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:竹等寒安全 竹等寒《TryHackMe-SOC-Section 5:网络钓鱼分析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论