從可疑電子郵件中取得資訊的重要性及其對企業安全的影響

1. 為什麼要從可疑電子郵件中取得資訊
   • 識別攻擊來源：透過取得寄件者地址、伺服器 IP 等資訊，可以追溯攻擊的來源。
   • 了解攻擊模式：分析郵件主題、內容和附件，可以了解攻擊者的策略和手法。
   • 收集證據：這些資訊可作為進行調查和法律流程的證據。
   • 建立威脅情報：累積這些資訊有助於建立組織的威脅情報庫。
2. 取得這些資訊能幫助我們達到什麼目標
   • 識別攻擊者：通過分析取得的資訊，可能識別出特定的攻擊者或攻擊組織。
   • 預防未來攻擊：了解攻擊模式後，可以採取相應措施預防類似的未來攻擊。
   • 保護企業資訊安全：根據取得的資訊，可以更新安全策略和系統，增強企業整體安全性。
   • 提高警覺性：向員工分享這些資訊，提高他們對釣魚攻擊的警覺性。
   • 改進偵測能力：利用取得的特徵，改進自動化偵測系統，提高對新威脅的識別能力。
   • 跨組織合作：分享這些資訊有助於與其他組織或安全機構合作，共同應對網路威脅。
   • 量化風險：通過分析這些資訊，可以更準確地評估和量化組織面臨的網路安全風險。
   • 合規要求：在某些行業，取得和分析這些資訊可能是法規遵循的一部分。

可疑電子郵件中取得的關鍵資訊

1. 電子郵件相關資訊
   • 寄件者地址
   • 收件者地址
   • 郵件主題
   • 寄送日期和時間
   • 回覆地址（如果與寄件者不同）
   • 郵件內容（包括文字和 HTML 格式）
2. 技術資訊
   • 寄送伺服器 IP 地址
   • 寄送伺服器的反向 DNS 查詢結果
   • 郵件標頭完整資訊
   • 郵件認證結果（如 SPF、DKIM、DMARC）
3. 網頁相關資訊
   • 郵件中包含的完整 URL
   • URL 的根域名
   • 偽造的登入頁面（如果有）
4. 附件相關資訊
   • 附件檔案名稱
   • 附件檔案類型
   • 附件檔案大小
   • 附件檔案的雜湊值（如 MD5、SHA256）
5. 社交工程元素
   • 使用的欺騙手法（例如假冒知名品牌、緊急要求等）
   • 特定的措辭或語言特徵
   • 視覺元素（如偽造的公司標誌）
6. 時間資訊
   • 郵件發送時間
   • 郵件接收時間
   • 攻擊持續時間（如果是一系列相關攻擊）
7. 攻擊目標資訊
   • 目標部門或個人
   • 被攻擊的系統或服務
8. 關聯資訊
   • 與其他已知攻擊的相似之處
   • 可能的攻擊組織或個人特徵

實作

如何從 DNS 查 IP

nslookup lab.feifei.tw

如何從 IP 反查 DNS

https://mxtoolbox.com/ReverseLookup.aspx

資料集來源

https://academictorrents.com/details/a77cda9a9d89a60dbdfbe581adf6e2df9197995a

分析 .eml 分析步驟和技巧

1. .eml 檔案結構理解：
   • .eml 檔案是純文字格式，包含郵件標頭和正文。
   • 標頭部分包含元數據，如發件人、收件人、日期等。
   • 正文部分可能包含純文字、HTML 或兩者兼有。
2. 使用文字編輯器打開：
   • 使用如 Notepad++、Sublime Text 等文字編輯器打開 .eml 檔案。
   • 允許查看原始內容，包括隱藏的標頭資訊。
3. 分析郵件標頭：
   • 查找 "From:"、"To:"、"Subject:" 等基本欄位。
   • 分析 "Received:" 欄位，追蹤郵件的傳遞路徑。
   • 檢查 "X-Originating-IP:" 或類似欄位，找出發送伺服器的 IP。
   • 查看 "Authentication-Results:" 欄位，檢查 SPF、DKIM、DMARC 驗證結果。
4. 檢查郵件正文：
   • 分析純文字和 HTML 內容。
   • 查找可疑的 URL 或嵌入式腳本。
   • 注意社交工程技巧，如緊急呼籲或威脅性語言。
5. 取得和分析 URL：
   • 使用正則表達式或專門工具取得所有 URL。
   • 檢查 URL 的真實目的地（不要直接點擊）。
   • 使用線上名譽檢查服務（如 VirusTotal）分析 URL。
6. 分析附件：
   • 不要直接打開附件。
   • 取得附件的檔案名和 MIME 類型。
   • 計算附件的雜湊值（MD5、SHA256）。
     • Windows: certutil -hashfile [檔案路徑] MD5
     • Mac/Linux: md5sum [檔案路徑]
   • 使用沙盒環境或線上服務分析可疑附件。
7. 使用專門工具：
   • 使用如 Email Header Analyzer 等線上工具解析郵件標頭。
   • 使用 emlAnalyzer 等工具自動取得 .eml 檔案中的關鍵資訊。
8. 查找隱藏內容：
   • 檢查 Base64 編碼的內容，可能隱藏了惡意 payload。
   • 查找隱藏的 HTML 元素或樣式。
9. 時間線分析：
   • 檢查郵件發送、接收和中轉的時間戳。
   • 尋找時間異常，可能暗示郵件偽造。
10. 交叉驗證：
    • 將取得的資訊與已知的威脅情報資料庫比對。
    • 檢查發件人地址、IP、域名等是否與已知的釣魚活動相關。
11. 檔案分析結果：
    • 建立詳細的分析報告，包括所有發現和解釋。
    • 記錄使用的工具和方法，確保分析可重現。
12. 安全注意事項：
    • 在隔離的環境中進行分析，如虛擬機。
    • 避免執行 .eml 檔案中的任何腳本或巨集。
    • 不要將敏感資訊暴露給可疑的線上分析工具。

實作: 分析信件

• 來源
  • https://raw.githubusercontent.com/sbidy/MacroMilter/refs/heads/master/test_mails/01_mail_without_attachment.eml

Return-Path: <info@myhost.server.de>
Delivered-To: <info@myhost.server.de>
Received: from myhost.server.de
	by myhost.server.de (Dovecot) with LMTP id a3h2342rfwsVdaZgAAnDPNtw
	for <info@myhost.server.de>; Sat, 07 May 2016 15:07:09 +0200
Received: from 190-93-98-224.rev.greendottt.net (190-93-98-224.rev.greendottt.net [190.93.98.224])
	by myhost.server.de (Postfix) with ESMTP id 4D334KD0290
	for <info@myhost.server.de>; Sat,  7 May 2016 15:07:07 +0200 (CEST)
Message-ID: <379405337244066269900807@myhost.server.de>
From: <info@myhost.server.de>
To: <info@myhost.server.de>
Subject: =?utf-8?B?V2lsbHN0IGR1IGVpbmUgaGVpw59lIE5hY2h0Pw==?=
Date: 6 May 2016 22:01:54 -0800
MIME-Version: 1.0
Content-type: multipart/alternative;
 boundary="---C78133B8B3750A387ECC474C8AF5C781"
X-Mailer: Jkanho pfdxwm
X-Virus-Scanned: clamav-milter 0.98.7 at myhost.server.de
X-Virus-Status: Clean
X-Spam-Flag: YES
X-Spam-Status: Yes, score=9.7 required=7.7 tests=BAYES_00,DATE_IN_PAST_06_12,
	HTML_MESSAGE,TVD_RCVD_IP,UNPARSEABLE_RELAY,URIBL_ABUSE_SURBL,URIBL_BLOCKED,
	URIBL_CR_SURBL,URIBL_DBL_SPAM,URI_WP_DIRINDEX,URI_WP_HACKED_2 autolearn=no
	version=3.3.2
X-Spam-Report:
	*  0.0 TVD_RCVD_IP Message was received from an IP address
	*  1.5 DATE_IN_PAST_06_12 Date: is 6 to 12 hours before Received: date
	* -1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1%
	*      [score: 0.0000]
	*  0.0 HTML_MESSAGE BODY: HTML included in message
	*  2.5 URIBL_DBL_SPAM Contains a spam URL listed in the DBL blocklist
	*      [URIs: reijureiki.com]
	*  1.3 URIBL_CR_SURBL Contains an URL listed in the CR SURBL blocklist
	*      [URIs: reijureiki.com]
	*  1.2 URIBL_ABUSE_SURBL Contains an URL listed in the ABUSE SURBL
	*      blocklist
	*      [URIs: reijureiki.com]
	*  0.0 URIBL_BLOCKED ADMINISTRATOR NOTICE: The query to URIBL was blocked.
	*       See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block
	*      for more information.
	*      [URIs: reijureiki.com]
	*  3.0 URI_WP_DIRINDEX URI for compromised WordPress site, possible malware
	*  0.0 UNPARSEABLE_RELAY Informational: message has unparseable relay lines
	*  2.0 URI_WP_HACKED_2 URI for compromised WordPress site, possible malware
X-Spam-Level: *********
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on myhost.server.de

This is a multi-part message in MIME format.
-----C78133B8B3750A387ECC474C8AF5C781
Content-type: text/plain;
 charset="cp-850"
Content-transfer-encoding: quoted-printable

Bist du verf&#252;gbar?
Ich suche nach einem Quickie heute Abend ...

Ich bin 21 und meine Pu$$y will S#x!

Hallo, mein Benutzername Viktori
Meinem Profil ist=20
 hier
-----C78133B8B3750A387ECC474C8AF5C781
Content-type: text/html;
 charset="cp-850"
Content-transfer-encoding: quoted-printable

<html><head><meta http-equiv=3DContent-Type content=3D"text/html; =
charset=3Dcp-850"></head>
<body>Bist du verf&#252;gbar?<br>
Ich suche nach einem Quickie heute Abend ...<br>
<br>
Ich bin 21 und meine Pu$$y will S#x!<br>
<br>
Hallo, mein Benutzername Viktori<br>
Meinem Profil ist <a =
href=3D"http://reijureiki.com/wp-includes/js/tinymce/plugins/compat3x/"><=
b> hier</b></a>
 </body></html>
-----C78133B8B3750A387ECC474C8AF5C781--

1. 郵件標頭分析：
   • 寄件人地址 (From): info@myhost.server.de
   • 收件人地址 (To): info@myhost.server.de
   • 主旨 (Subject): "Willst du eine heiße Nacht?" (你想要一個火辣的夜晚嗎？)
   • 發送日期 (Date): 6 May 2016 22:01:54 -0800
2. 發送伺服器資訊：
   • 原始 IP: 190.93.98.224
   • 主機名: 190-93-98-224.rev.greendottt.net
3. 垃圾郵件檢測：
   • X-Spam-Flag: YES
   • X-Spam-Status: Yes, score=9.7 (遠高於所需的 7.7 分)
4. 可疑特徵：
   • 寄件人和收件人相同 (info@myhost.server.de)
   • 郵件日期比接收日期早 6-12 小時
   • 包含可疑的 WordPress 網站連結 (可能被入侵)
   • 使用 Base64 編碼的主旨行，試圖逃避垃圾郵件過濾
5. 內容分析：
   • 郵件內容具有性暗示性質
   • 包含一個可疑連結，聲稱指向個人資料
   • 使用了特殊字符來規避過濾 (如 "Pu$$y", "S#x")
6. 可疑 URL:
   • http://reijureiki.com/wp-includes/js/tinymce/plugins/compat3x/
   • 這個 URL 被多個黑名單標記為垃圾郵件或惡意網站
7. 其他觀察：
   • 郵件使用多部分 MIME 格式，包含純文本和 HTML 版本
   • 垃圾郵件評分報告顯示多個觸發點，包括 URL 黑名單、日期不一致等

總結

1. 從可疑郵件中取得資訊的重要性及其對企業安全的影響
2. 需要從可疑郵件中取得的關鍵資訊類別
3. 具體的 .eml 檔案分析步驟和技巧
4. 學習實際釣魚郵件分析案例，展示如何應用這些技巧

下一步

學習分析其他 eml