Day9

除了分析釣魚信件本身的內容之外，通常釣魚信件會包含

1. 釣魚連結
2. 釣魚網站
3. 惡意檔案

因此我們介紹遇到這些內容該如何分析。

為什麼要學習識別和回應釣魚威脅

• 釣魚連結：學習識別和分析網址可以幫助識別隱藏在看似正常網址中的攻擊。了解域名和IP地址的資訊有助於追蹤和回應這些威脅。
• 釣魚網站：分析網站內容和使用的技術，包括TLS證書、網站架構等，有助於判斷網站是否用於惡意目的。
• 惡意檔案：了解檔案如何操作和潛在的危險行為（如試圖連結到C2伺服器）是識別和中止攻擊的關鍵。

建立防禦策略：

• 透過分析實際案例，藍隊可以為組織建立更精確的防禦策略，設計有效的安全政策和應對措施。
• 了解攻擊的特點和攻擊者的技術，有助於藍隊訓練其他員工識別和避免類似威脅。

釣魚網站模擬進行分析

僅供學術研究請勿使用於惡意攻擊
https://github.com/fei3363/phishing_demo/tree/main

工具使用

URL2PNG 查看釣魚網站截圖

• 輸入 URL
• 點擊「開始」
• 提供網頁的螢幕截圖
  

可以看到針對

https://fcu-d0449763.github.io/phishing_demo/

這個網站出現的是 Facebook 的網站

使用 urlscan 進行分析

• 輸出網址(免費會公開連結，請注意隱私)
• urlscan
  • 網站截圖
  • 使用技術
  • 信任分數
  • 域名與 IP 資訊

URLScan.io 分析結果

• 查看報告
  • https://urlscan.io/result/0c4431a7-c566-4b6f-b8aa-24e7431af8f2/

1. URL 和域名資訊
   • URL: https://fcu-d0449763.github.io/phishing_demo/
   • 主域名: fcu-d0449763.github.io
   • IP 地址: 2606:50c0:8000::153 (IPv6)
   • 目前 DNS A 記錄: 185.199.108.153
2. 掃描資訊
   • 掃描時間: 2024年9月23日 15:13:37 UTC
   • 掃描位置: 德國
   • 提交來源: 台灣
3. 網站活動摘要
   • 聯繫了 2 個 IP 地址
   • 跨越 3 個域名
   • 執行了 3 次 HTTP
   • 主要 IP 位於美國,屬於 FASTLY
4. 安全評估
   • URLScan.io 判斷: 潛在惡意
   • Google 安全瀏覽: 判定為惡意
   • 疑似針對 Facebook (社交網路) 進行釣魚攻擊
5. 技術細節
   • TLS 證書: 由 DigiCert Global G2 TLS RSA SHA256 2024 簽發,有效期一年
   • 使用 GitHub Pages 作為 CDN
   • 頁面標題: "Facebook - 登入或註冊（教學用）"
6. 頁面統計
   • 3 個請求
   • 33% HTTPS
   • 100% IPv6
   • 3 個域名和子域名
   • 81 kB 傳輸量
   • 287 kB 總大小
   • 0 個 Cookies

URLhaus 查詢 URL 惡意資料庫

https://urlhaus.abuse.ch/

1. URL 被新增於資料庫的日期
2. URL 目前的狀態
3. 可能擁有的惡意軟體類型
4. 回報該 URL 的使用者名稱

PhishTank查詢 URL 惡意資料庫

• 與 URLhaus 相似

VirusTotal

1. 針對網址、檔案、雜湊值掃描
2. 評分機制
3. 了解防毒軟體對於這些網站是否是惡意

• 查看報告
  • https://www.virustotal.com/gui/url/f3226ef946762f3973c81718e7a920b56e29ca720bda48a724d6eb7e242cb091

VirusTotal 分析結果

1. URL 評分
   • 14/92 個安全廠商將此 URL 標記為惡意
   • 評分為 14 分
2. URL 資訊
   • https://fcu-d0449763.github.io/phishing_demo/
   • 域名: fcu-d0449763.github.io
   • 狀態碼: 200
   • 內容類型: text/html; charset=utf-8
   • 最後分析日期: 4 個月前
3. 檢測為惡意的主要廠商
   • alphaMountain.ai, BitDefender, CRDF, CyRadar, Emsisoft, ESET, Fortinet, G-Data, Kaspersky, Lionic, Netcraft, Sophos, Trustwave, Webroot
4. 檢測為乾淨的主要廠商
   • Abusix, Acronis, ADMINUSLabs, AILabs, AlienVault, Antiy-AVL, Dr.Web, Google Safebrowsing, Juniper Networks, K7AntiVirus, Quttera, Rising, Sangfor 等
5. 未評級的廠商
   • 0xSI_f33d, AlphaSOC, ArcSight Threat Intelligence, AutoShun, Bkav, Cluster25, Cyan, Ermes 等

Malware Sandboxing(惡意軟體沙箱)

1. 沙箱的定義與目的:

   • 沙箱是在一個受控環境中執行可疑軟體的過程
   • 目的是密切監控軟體的行為,收集威脅指標(IOCs)
   • 例如監控網路流量,觀察惡意軟體是否試圖與命令控制(C2)伺服器通訊

2. 沙箱的價值:

   • 幫助理解惡意軟體的運作方式
   • 便於建立可以檢測和警報類似活動的防禦機制

Hybrid Analysis平台介紹

• 一個線上惡意軟體分析平台
• 允許上傳可疑檔案進行即時雲端分析
• 提供詳細的觀察到的活動報告

使用步驟

• 上傳檔案:拖放或瀏覽選擇
• 選擇作業系統:可以針對特定作業系統的惡意軟體進行分析
• 生成公開報告

分析結果包括

• 檔案資訊(如SHA256哈希值)
• 威脅評分
• 行為分類
• 網路通訊
• 檔案系統更改
• 進程活動等

Hybrid Analysis 的優點

• 免費且易於使用
• 適合安全研究人員
• 提供詳細分析和信譽檢查

總結

釣魚攻擊是資訊安全中最常見且具威脅性的手段之一。藍隊初學者需要學習如何識別和分析釣魚連結、釣魚網站以及惡意檔案，以提升組織的安全防禦能力。透過使用工具如 URL2PNG、urlscan.io、URLhaus、PhishTank、VirusTotal 和 Hybrid Analysis，可以深入分析可疑的網址和檔案，瞭解其背後的威脅。建立有效的防禦策略和培訓員工識別這些威脅，對防止釣魚攻擊至關重要。

選擇題

1. 下列哪一個工具可用於取得目標網站的截圖，方便快速瞭解網站的外觀和內容？

A. URL2PNG
B. URLhaus
C. VirusTotal
D. Hybrid Analysis

答案：A

解析：URL2PNG 是用於生成網站截圖的工具，方便快速查看網站的外觀。URLhaus 和 PhishTank 用於查詢惡意網址資料庫，VirusTotal 用於多引擎掃描，Hybrid Analysis 是惡意軟體沙箱分析平台。

2. 使用 urlscan.io 進行網站分析時，可以獲得以下哪項資訊？

A. 網站的所有者詳細個人資料
B. 網站的 TLS 證書資訊
C. 網站的內部程式碼
D. 使用者在網站上的輸入內容

答案：B

解析：urlscan.io 可提供網站的 TLS 證書資訊、IP 位址、域名資訊和安全評估等。但不會提供網站所有者的詳細個人資料、內部程式碼或使用者的輸入內容。

3. 哪一個工具可同時使用多家安全廠商的引擎掃描網址、檔案或雜湊值，提供全面的安全評估？

A. PhishTank
B. URLhaus
C. VirusTotal
D. URL2PNG

答案：C

解析：VirusTotal 是一個多引擎檢測平台，使用多家安全廠商的引擎掃描網址、檔案或雜湊值，提供全面的安全評估。

4. 下列關於 Hybrid Analysis 的描述，何者正確？

A. 用於生成網站的截圖
B. 可以在受控環境中執行可疑檔案，觀察其行為
C. 是一個惡意網址的資料庫查詢工具
D. 專門用於分析網頁的 SEO 優化程度

答案：B

解析：Hybrid Analysis 是一個惡意軟體沙箱分析平台，允許在受控環境中執行可疑檔案，觀察其行為並收集威脅指標。它不涉及網站截圖、惡意網址查詢或 SEO 分析。

5. 為什麼在建立防禦策略時，需要分析實際的釣魚攻擊案例？

A. 因為可以從中獲得財務利益
B. 以便設計有效的安全政策和應對措施
C. 這樣就不需要培訓員工了
D. 可以完全避免所有未來的攻擊

答案：B

解析：透過分析實際的釣魚攻擊案例，可以為組織建立更精確的防禦策略，設計有效的安全政策和應對措施。同時，了解攻擊者的技術有助於培訓員工識別和避免類似威脅。其他選項的描述不符合實際情況。