应急响应-钓鱼EML分析与简单恶意程序分析 前言在一些攻防对抗的环境中，经常会出现类似邮件钓鱼来快速获取权限的情况，在这种情况下，作为蓝队成员应该如何快速定位攻击者，迅速做出应急响应呢？接下来我们就来探讨一些关于邮件可以获取的信息，以及如何确定这是钓鱼攻击和它钓鱼的目的是做什么。EML文件分析如何分析邮件的安全性看发信人地址看发信内容信息看发信内容附件对于邮件，我们通常从这三部分进行分析，从而来定性他是否为钓鱼攻击，从常规的网页来看肯定不行，我们得从邮件的特有格式eml文件来进行查看比较合适。查看发信人地址将邮件查看原文或者以eml格式导出查看发信内容信息底下的Base64加密就是内容查看发信内容附件底下那么多Base64加密的数据就是附件的数据，只需要base64解密之后输出为文件即可。钓鱼邮件分析-第一封分析发件人地址将域名和IP地址都到微步情报查询发现是白名单，别急我们继续往下看查看发信内容信息较为可疑，引导下载附件程序。查看发信内容附件恶意程序分析上传该文件到微步沙箱进行分析到这里基本实锤它是钓鱼邮件，且钓鱼的目的就是上线后门钓鱼邮件分析-第二封查看发信人地址查看发信内容信息引导用户下载附件，较为可疑查看发信内容附件filename已经解密发现是zip后缀，对Base64加密后的数据进行解密保存恶意程序分析猜测监听端口应该是为了上线后门，那么列举文件是要做什么？我们可以思考一下，25端口是收发邮件的端口，对这么多服务器的25进行数据发送，再加上它是通过邮件传播的蠕虫病毒，那么我们就可以知道列举文件的目的就是找到当前系统中所有文件存在的邮箱，然后对这些邮箱进行进一步的传播。在得知这些内容之后，我们可以对进程进行清除，新增的权限维持也进行清除确保无再次上线的后门存在，然后就可以输出报告了参考文章-手工分析https://mp.weixin.qq.com/s/gFbewpQrWNTnsVpDzI1OQw参考文章-大量样本分析https://xz.aliyun.com/users/64919/news