前言
在一些攻防对抗的环境中,经常会出现类似邮件钓鱼来快速获取权限的情况,在这种情况下,作为蓝队成员应该如何快速定位攻击者,迅速做出应急响应呢?接下来我们就来探讨一些关于邮件可以获取的信息,以及如何确定这是钓鱼攻击和它钓鱼的目的是做什么。
EML文件分析
如何分析邮件的安全性
- 看发信人地址
- 看发信内容信息
- 看发信内容附件
对于邮件,我们通常从这三部分进行分析,从而来定性他是否为钓鱼攻击,从常规的网页来看肯定不行,我们得从邮件的特有格式eml文件来进行查看比较合适。
查看发信人地址
将邮件查看原文或者以eml格式导出
查看发信内容信息
底下的Base64加密就是内容
查看发信内容附件
底下那么多Base64加密的数据就是附件的数据,只需要base64解密之后输出为文件即可。
钓鱼邮件分析-第一封
分析发件人地址
将域名和IP地址都到微步情报查询
发现是白名单,别急我们继续往下看
查看发信内容信息
较为可疑,引导下载附件程序。
查看发信内容附件
恶意程序分析
上传该文件到微步沙箱进行分析
到这里基本实锤它是钓鱼邮件,且钓鱼的目的就是上线后门
钓鱼邮件分析-第二封
查看发信人地址
查看发信内容信息
引导用户下载附件,较为可疑
查看发信内容附件
filename已经解密发现是zip后缀,对Base64加密后的数据进行解密保存
恶意程序分析
猜测监听端口应该是为了上线后门,那么列举文件是要做什么?
我们可以思考一下,25端口是收发邮件的端口,对这么多服务器的25进行数据发送,再加上它是通过邮件传播的蠕虫病毒,那么我们就可以知道列举文件的目的就是找到当前系统中所有文件存在的邮箱,然后对这些邮箱进行进一步的传播。
在得知这些内容之后,我们可以对进程进行清除,新增的权限维持也进行清除确保无再次上线的后门存在,然后就可以输出报告了
参考文章-手工分析
https://mp.weixin.qq.com/s/gFbewpQrWNTnsVpDzI1OQw
评论 (0)