iT邦幫忙

2024 iThome 鐵人賽
DAY 8
0
Security

資安這條路:系統化學習藍隊技術系列 第 8

Day8:藍隊提升技術力: 網路釣魚分析(3)─實作分析 eml

16th鐵人賽
64 瀏覽

  • 分享至 

  • xImage
    •  

從可疑電子郵件中取得資訊的重要性及其對企業安全的影響

  1. 為什麼要從可疑電子郵件中取得資訊
    • 識別攻擊來源:透過取得寄件者地址、伺服器 IP 等資訊,可以追溯攻擊的來源。
    • 了解攻擊模式:分析郵件主題、內容和附件,可以了解攻擊者的策略和手法。
    • 收集證據:這些資訊可作為進行調查和法律流程的證據。
    • 建立威脅情報:累積這些資訊有助於建立組織的威脅情報庫。
  2. 取得這些資訊能幫助我們達到什麼目標
    • 識別攻擊者:通過分析取得的資訊,可能識別出特定的攻擊者或攻擊組織。
    • 預防未來攻擊:了解攻擊模式後,可以採取相應措施預防類似的未來攻擊。
    • 保護企業資訊安全:根據取得的資訊,可以更新安全策略和系統,增強企業整體安全性。
    • 提高警覺性:向員工分享這些資訊,提高他們對釣魚攻擊的警覺性。
    • 改進偵測能力:利用取得的特徵,改進自動化偵測系統,提高對新威脅的識別能力。
    • 跨組織合作:分享這些資訊有助於與其他組織或安全機構合作,共同應對網路威脅。
    • 量化風險:通過分析這些資訊,可以更準確地評估和量化組織面臨的網路安全風險。
    • 合規要求:在某些行業,取得和分析這些資訊可能是法規遵循的一部分。

可疑電子郵件中取得的關鍵資訊

  1. 電子郵件相關資訊
    • 寄件者地址
    • 收件者地址
    • 郵件主題
    • 寄送日期和時間
    • 回覆地址(如果與寄件者不同)
    • 郵件內容(包括文字和 HTML 格式)
  2. 技術資訊
    • 寄送伺服器 IP 地址
    • 寄送伺服器的反向 DNS 查詢結果
    • 郵件標頭完整資訊
    • 郵件認證結果(如 SPF、DKIM、DMARC)
  3. 網頁相關資訊
    • 郵件中包含的完整 URL
    • URL 的根域名
    • 偽造的登入頁面(如果有)
  4. 附件相關資訊
    • 附件檔案名稱
    • 附件檔案類型
    • 附件檔案大小
    • 附件檔案的雜湊值(如 MD5、SHA256)
  5. 社交工程元素
    • 使用的欺騙手法(例如假冒知名品牌、緊急要求等)
    • 特定的措辭或語言特徵
    • 視覺元素(如偽造的公司標誌)
  6. 時間資訊
    • 郵件發送時間
    • 郵件接收時間
    • 攻擊持續時間(如果是一系列相關攻擊)
  7. 攻擊目標資訊
    • 目標部門或個人
    • 被攻擊的系統或服務
  8. 關聯資訊
    • 與其他已知攻擊的相似之處
    • 可能的攻擊組織或個人特徵

實作

如何從 DNS 查 IP

nslookup lab.feifei.tw
image

如何從 IP 反查 DNS

https://mxtoolbox.com/ReverseLookup.aspx

image

資料集來源

https://academictorrents.com/details/a77cda9a9d89a60dbdfbe581adf6e2df9197995a

image

分析 .eml 分析步驟和技巧

  1. .eml 檔案結構理解:
    • .eml 檔案是純文字格式,包含郵件標頭和正文。
    • 標頭部分包含元數據,如發件人、收件人、日期等。
    • 正文部分可能包含純文字、HTML 或兩者兼有。
  2. 使用文字編輯器打開:
    • 使用如 Notepad++、Sublime Text 等文字編輯器打開 .eml 檔案。
    • 允許查看原始內容,包括隱藏的標頭資訊。
  3. 分析郵件標頭:
    • 查找 "From:"、"To:"、"Subject:" 等基本欄位。
    • 分析 "Received:" 欄位,追蹤郵件的傳遞路徑。
    • 檢查 "X-Originating-IP:" 或類似欄位,找出發送伺服器的 IP。
    • 查看 "Authentication-Results:" 欄位,檢查 SPF、DKIM、DMARC 驗證結果。
  4. 檢查郵件正文:
    • 分析純文字和 HTML 內容。
    • 查找可疑的 URL 或嵌入式腳本。
    • 注意社交工程技巧,如緊急呼籲或威脅性語言。
  5. 取得和分析 URL:
    • 使用正則表達式或專門工具取得所有 URL。
    • 檢查 URL 的真實目的地(不要直接點擊)。
    • 使用線上名譽檢查服務(如 VirusTotal)分析 URL。
  6. 分析附件:
    • 不要直接打開附件。
    • 取得附件的檔案名和 MIME 類型。
    • 計算附件的雜湊值(MD5、SHA256)。
      • Windows: certutil -hashfile [檔案路徑] MD5
      • Mac/Linux: md5sum [檔案路徑]
    • 使用沙盒環境或線上服務分析可疑附件。
  7. 使用專門工具:
    • 使用如 Email Header Analyzer 等線上工具解析郵件標頭。
    • 使用 emlAnalyzer 等工具自動取得 .eml 檔案中的關鍵資訊。
  8. 查找隱藏內容:
    • 檢查 Base64 編碼的內容,可能隱藏了惡意 payload。
    • 查找隱藏的 HTML 元素或樣式。
  9. 時間線分析:
    • 檢查郵件發送、接收和中轉的時間戳。
    • 尋找時間異常,可能暗示郵件偽造。
  10. 交叉驗證:
    • 將取得的資訊與已知的威脅情報資料庫比對。
    • 檢查發件人地址、IP、域名等是否與已知的釣魚活動相關。
  11. 檔案分析結果:
    • 建立詳細的分析報告,包括所有發現和解釋。
    • 記錄使用的工具和方法,確保分析可重現。
  12. 安全注意事項:
    • 在隔離的環境中進行分析,如虛擬機。
    • 避免執行 .eml 檔案中的任何腳本或巨集。
    • 不要將敏感資訊暴露給可疑的線上分析工具。

實作: 分析信件

Return-Path: <info@myhost.server.de>
Delivered-To: <info@myhost.server.de>
Received: from myhost.server.de
	by myhost.server.de (Dovecot) with LMTP id a3h2342rfwsVdaZgAAnDPNtw
	for <info@myhost.server.de>; Sat, 07 May 2016 15:07:09 +0200
Received: from 190-93-98-224.rev.greendottt.net (190-93-98-224.rev.greendottt.net [190.93.98.224])
	by myhost.server.de (Postfix) with ESMTP id 4D334KD0290
	for <info@myhost.server.de>; Sat,  7 May 2016 15:07:07 +0200 (CEST)
Message-ID: <379405337244066269900807@myhost.server.de>
From: <info@myhost.server.de>
To: <info@myhost.server.de>
Subject: =?utf-8?B?V2lsbHN0IGR1IGVpbmUgaGVpw59lIE5hY2h0Pw==?=
Date: 6 May 2016 22:01:54 -0800
MIME-Version: 1.0
Content-type: multipart/alternative;
 boundary="---C78133B8B3750A387ECC474C8AF5C781"
X-Mailer: Jkanho pfdxwm
X-Virus-Scanned: clamav-milter 0.98.7 at myhost.server.de
X-Virus-Status: Clean
X-Spam-Flag: YES
X-Spam-Status: Yes, score=9.7 required=7.7 tests=BAYES_00,DATE_IN_PAST_06_12,
	HTML_MESSAGE,TVD_RCVD_IP,UNPARSEABLE_RELAY,URIBL_ABUSE_SURBL,URIBL_BLOCKED,
	URIBL_CR_SURBL,URIBL_DBL_SPAM,URI_WP_DIRINDEX,URI_WP_HACKED_2 autolearn=no
	version=3.3.2
X-Spam-Report:
	*  0.0 TVD_RCVD_IP Message was received from an IP address
	*  1.5 DATE_IN_PAST_06_12 Date: is 6 to 12 hours before Received: date
	* -1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1%
	*      [score: 0.0000]
	*  0.0 HTML_MESSAGE BODY: HTML included in message
	*  2.5 URIBL_DBL_SPAM Contains a spam URL listed in the DBL blocklist
	*      [URIs: reijureiki.com]
	*  1.3 URIBL_CR_SURBL Contains an URL listed in the CR SURBL blocklist
	*      [URIs: reijureiki.com]
	*  1.2 URIBL_ABUSE_SURBL Contains an URL listed in the ABUSE SURBL
	*      blocklist
	*      [URIs: reijureiki.com]
	*  0.0 URIBL_BLOCKED ADMINISTRATOR NOTICE: The query to URIBL was blocked.
	*       See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block
	*      for more information.
	*      [URIs: reijureiki.com]
	*  3.0 URI_WP_DIRINDEX URI for compromised WordPress site, possible malware
	*  0.0 UNPARSEABLE_RELAY Informational: message has unparseable relay lines
	*  2.0 URI_WP_HACKED_2 URI for compromised WordPress site, possible malware
X-Spam-Level: *********
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on myhost.server.de

This is a multi-part message in MIME format.
-----C78133B8B3750A387ECC474C8AF5C781
Content-type: text/plain;
 charset="cp-850"
Content-transfer-encoding: quoted-printable

Bist du verf&#252;gbar?
Ich suche nach einem Quickie heute Abend ...

Ich bin 21 und meine Pu$$y will S#x!

Hallo, mein Benutzername Viktori
Meinem Profil ist=20
 hier
-----C78133B8B3750A387ECC474C8AF5C781
Content-type: text/html;
 charset="cp-850"
Content-transfer-encoding: quoted-printable

<html><head><meta http-equiv=3DContent-Type content=3D"text/html; =
charset=3Dcp-850"></head>
<body>Bist du verf&#252;gbar?<br>
Ich suche nach einem Quickie heute Abend ...<br>
<br>
Ich bin 21 und meine Pu$$y will S#x!<br>
<br>
Hallo, mein Benutzername Viktori<br>
Meinem Profil ist <a =
href=3D"http://reijureiki.com/wp-includes/js/tinymce/plugins/compat3x/"><=
b> hier</b></a>
 </body></html>
-----C78133B8B3750A387ECC474C8AF5C781--
  1. 郵件標頭分析:
    • 寄件人地址 (From): info@myhost.server.de
    • 收件人地址 (To): info@myhost.server.de
    • 主旨 (Subject): "Willst du eine heiße Nacht?" (你想要一個火辣的夜晚嗎?)
    • 發送日期 (Date): 6 May 2016 22:01:54 -0800
  2. 發送伺服器資訊:
    • 原始 IP: 190.93.98.224
    • 主機名: 190-93-98-224.rev.greendottt.net
  3. 垃圾郵件檢測:
    • X-Spam-Flag: YES
    • X-Spam-Status: Yes, score=9.7 (遠高於所需的 7.7 分)
  4. 可疑特徵:
    • 寄件人和收件人相同 (info@myhost.server.de)
    • 郵件日期比接收日期早 6-12 小時
    • 包含可疑的 WordPress 網站連結 (可能被入侵)
    • 使用 Base64 編碼的主旨行,試圖逃避垃圾郵件過濾
  5. 內容分析:
    • 郵件內容具有性暗示性質
    • 包含一個可疑連結,聲稱指向個人資料
    • 使用了特殊字符來規避過濾 (如 "Pu$$y", "S#x")
  6. 可疑 URL:
  7. 其他觀察:
    • 郵件使用多部分 MIME 格式,包含純文本和 HTML 版本
    • 垃圾郵件評分報告顯示多個觸發點,包括 URL 黑名單、日期不一致等

總結

  1. 從可疑郵件中取得資訊的重要性及其對企業安全的影響
  2. 需要從可疑郵件中取得的關鍵資訊類別
  3. 具體的 .eml 檔案分析步驟和技巧
  4. 學習實際釣魚郵件分析案例,展示如何應用這些技巧

下一步

學習分析其他 eml
image


上一篇
Day7:藍隊提升技術力: 網路釣魚分析(2)─網路釣魚種類
下一篇
Day9:藍隊提升技術力: 網路釣魚分析(4)─實作分析釣魚網站
系列文
資安這條路:系統化學習藍隊技術13
  1. 9
    Day9:藍隊提升技術力: 網路釣魚分析(4)─實作分析釣魚網站
  2. 10
    Day10:藍隊提升技術力:網路釣魚分析(5) ─ 防禦方法整理與撰寫釣魚分析報告
  3. 11
    Day11:藍隊提升技術力:威脅情報(1)─威脅情報在現代資安中的應用與策略
  4. 12
    Day12:藍隊提升技術力:威脅情報(2)─威脅情報生命週期
  5. 13
    Day13:藍隊提升技術力:威脅情報(3)─威脅情報的來源:OSINT、SIGINT、GEOINT 和 HUMINT
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1047
團體組數
40
累計文章數
13393
最後報名日
9/15
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 16th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react 資訊安全
熱門問題
熱門回答
熱門文章
IT邦幫忙