PhishingAnalysisToolsTHM
Introduction
在这个房间中,我们将了解有助于我们分析网络钓鱼电子邮件的各种工具。我们将:
查看可以帮助我们检查电子邮件标头信息的工具。
涵盖获取电子邮件中超链接的技术,以及在 URL 缩短时展开 URL。
研究一些工具,可以为我们提供有关潜在恶意链接的信息,而无需直接与恶意链接交互。
涵盖从网络钓鱼电子邮件中获取恶意附件的技术,并使用恶意软件沙箱引爆附件,以进一步了解附件的用途。
警告:整个房间的样本包含来自实际垃圾邮件和/或网络钓鱼电子邮件的信息。如果您尝试与任何 IP、域、附件等进行交互,请务必小心。
What information should we collect?
在此任务中,我们将概述分析可疑或恶意电子邮件时执行的步骤。
以下是分析师(您)从电子邮件标题中收集的相关信息的清单:
发件人电子邮件地址
发件人IP地址
反向查找发件人IP地址
电子邮件主题行
收件人电子邮件地址(此信息可能位于抄送/密件抄送字段中)
回复电子邮件地址(如果有)
日期/时间
之后,我们请注意电子邮件正文和附件(如果有)。
以下是分析师(您)需要从电子邮件正文收集的工件清单:
任何 URL 链接(如果使用了 URL 缩短服务,那么我们需要获取真实的 URL 链接)
附件名称
附件的哈希值(哈希类型MD5或SHA256,最好是后者)
警告:请小心不要意外点击电子邮件中的任何链接或附件。
Email header analysis
我们需要收集的一些相关信息可以从电子邮件客户端或网络客户端(例如 Gmail、Yahoo! 等)直观地获取。但有些信息,例如发件人的IP地址和回复信息,只能通过电子邮件标头获取。
在网络钓鱼电子邮件 1 中,我们了解了如何通过筛选电子邮件的源代码来手动获取此信息。
下面我们将了解一些可以帮助我们检索此信息的工具。
首先要介绍的是 Google 的一个工具,它可以帮助我们分析 Google 管理工具箱中名为 Messageheader 的电子邮件标头。
根据网站,“Messageheader 分析 SMTP 邮件标头,这有助于确定递送延迟的根本原因。您可以检测配置错误的服务器和邮件路由问题”。
用法:复制并粘贴整个电子邮件标题并运行分析工具。
另一个工具称为消息标头分析器。
- Message Header Analyzer: https://mha.azurewebsites.net/
最后,您还可以使用mailheader.org。
尽管之前的网络钓鱼室中没有介绍,但消息传输代理 (MTA) 是在发件人和收件人之间传输电子邮件的软件。了解有关 MTA 的更多信息 此处。既然我们正在讨论这个主题,请阅读有关 MUA(邮件用户代理)的信息 此处。
注意:使用哪种工具的选择最终取决于您。最好有多个资源可供参考,因为每个工具可能会揭示另一个工具可能无法揭示的信息。
以下工具可以帮助您分析有关发件人 IP 地址的信息:
- IPinfo.io:https://ipinfo.io/
根据网站,“借助 IPinfo,您可以精确定位用户的位置、定制他们的体验、防止欺诈、确保合规性等等”。
- URLScan.io: https://urlscan.io/
根据网站,“urlscan.io 是一项扫描和分析网站的免费服务。当 URL 提交到 urlscan.io 时,自动流程将浏览到像普通用户一样记录此页面导航创建的活动,这包括联系的域和 IP、从这些域请求的资源(JavaScript、CSS 等)以及有关页面本身的其他信息。将会截取页面的屏幕截图,记录 DOM 内容、JavaScript 全局变量、页面创建的 cookie 以及大量其他观察结果 如果该网站的目标用户是 urlscan.io 跟踪的 400 多个品牌之一,它将在扫描结果中突出显示为潜在恶意”。
请注意,urlscan.io 提供了 URL 的屏幕截图。提供了此屏幕截图,因此您不必明确导航到有问题的 URL。
您可以使用提供相同功能及更多功能的其他工具,例如 URL2PNG 和 Wannabrowser。
- Talos Reputation Center: https://talosintelligence.com/reputation
Email body analysis
现在是时候将您的注意力转移到电子邮件正文了。这是恶意有效负载可以作为链接或附件传递给接收者的地方。
可以直接从 HTML 格式的电子邮件中手动提取链接,也可以通过筛选原始电子邮件标头来手动提取链接。
以下是通过右键单击链接并选择“复制链接位置”从电子邮件手动获取链接的示例。
借助工具也可以完成同样的任务。 URL Extractor 是可以帮助我们完成此任务的一个工具。
您可以将原始标题复制并粘贴到第 1 步:选择您的输入的文本框中。
提取的 URL 在步骤 3 中可见。
您还可以使用 CyberChef 通过提取 URL 配方来提取 URL。
提示:记下提取的 URL 的根域非常重要。您还需要对根域执行分析。
提取 URL 后,下一步是检查 URL 和根域的信誉。您可以使用上一个任务中提到的任何工具来帮助您完成此任务。
如果电子邮件包含附件,您需要安全地获取附件。在 Thunderbird 中使用“保存”按钮可以轻松完成此操作。
获取附件后,您可以获取其哈希值。您可以使用哈希值检查文件的信誉,看看它是否是已知的恶意文档。
获取文件的SHA256哈希值
user@machine$ sha256sum Double\ Jackpot\ Slots\ Las\ Vegas.dot |
有许多工具可以帮助我们完成此任务,但我们将主要关注其中两个;下面列出了它们:
根据站点,“思科 Talos Intelligence Group 对数十亿个文件进行信誉处置。此信誉系统被馈送到 AMP、FirePower、ClamAV 和开源软件中Snort 产品系列。下面的工具允许您对 Talos 文件信誉系统进行随意查找,该系统限制您一次只能进行一次查找,并且仅限于哈希匹配。此查找不能反映高级功能的全部功能。恶意软件防护 (AMP) 系统”。
- VirusTotal:https://www.virustotal.com/gui/
根据网站,“分析可疑文件和 URL 以检测恶意软件类型,并自动与安全社区共享它们。”
另一个值得一提的工具/公司是Reversing Labs,它也有文件信誉服务。
Malware Sandbox
幸运的是,作为防御者,我们不需要具备恶意软件分析技能来剖析和逆向工程恶意附件以更好地了解恶意软件。
有一些在线工具和服务可以上传和分析恶意文件,以更好地了解恶意软件的编程目的。这些服务被称为恶意软件沙箱。
例如,我们可以上传从潜在恶意电子邮件中获取的附件,并查看它尝试与哪些 URL 进行通信、将哪些额外负载下载到端点、持久性机制、妥协指标 (IOC) 等。
下面列出了其中一些在线恶意软件沙箱。
- Any.Run:https://app.any.run/
根据站点,“分析网络、文件、模块和注册表活动。直接从浏览器与操作系统交互。立即查看您的操作的反馈 ”。
根据该网站,“这是为社区提供的免费恶意软件分析服务,使用独特的混合分析技术检测和分析未知威胁。”
根据该网站,“Joe Sandbox 为分析师提供了广泛的产品功能。其中:实时交互、URL 分析和基于人工智能的网络钓鱼检测、Yara 和 Sigma 规则支持、MITRE ATT&CK 矩阵、基于人工智能的恶意软件检测、邮件监控、威胁搜寻和情报、自动化用户行为、动态 VBA/JS/JAR 工具、执行图、本地化互联网匿名化等等”。
我们将在即将到来的网络钓鱼案例中与这些服务进行交互。
PhishTool
PhishTool 是一个有助于自动进行网络钓鱼分析的工具。
是的,我把这个留到最后了!什么是网络钓鱼工具?
根据该网站,“无论您是调查新网络钓鱼工具包的安全研究人员、响应用户报告的网络钓鱼的 SOC 分析师、收集网络钓鱼 IoC 的威胁情报分析师还是处理电子邮件欺诈的调查员。
PhishTool 将威胁情报、OSINT、电子邮件元数据和经过实战测试的自动分析路径整合到一个强大的网络钓鱼响应平台中。让您和您的组织成为强大的对手 - 免受网络钓鱼活动的影响,那些电子邮件安全能力较差的人会成为受害者。
注意:您可以下载和使用免费的社区版本。 :)
我将恶意电子邮件上传到 PhishTool,并使用我的社区版 API 密钥将 VirusTotal 连接到我的帐户。
以下是恶意电子邮件和 PhishTool 界面的一些屏幕截图。
从上图中,您可以看到 PhishTool 方便地获取我们需要的有关电子邮件的所有相关信息。
- 电子邮件发件人
- 电子邮件收件人(在本例中为抄送电子邮件地址的长列表)
- 时间戳
- 原始IP和反向DNS查找
我们可以获得有关 SMTP 中继的信息、特定的 X 标头信息和 IP 信息信息。
下面是第 1 跳(共 6 跳)(SMTP 中继)的片段。
请注意,该工具通知我们“Reply-To no present”,尽管它提供了替代标头信息 Return-Path。
在 PhishTool 仪表板的右侧,我们可以看到电子邮件正文。顶部有两个选项卡,我们可以切换它们以查看文本格式的电子邮件或其 HTML 源代码。
文本视图:
HTML 视图:
底部的两个窗格将显示有关附件和 URL 的信息。
右侧窗格将显示电子邮件中是否找到任何 URL。在这种情况下,没有找到电子邮件。
左侧窗格将显示有关附件的信息。这封特定的恶意电子邮件有一个 zip 文件。
由于我们的社区版 API 密钥已连接,我们可以自动从 VirusTotal 获取反馈。
在这里,我们可以获取 zip 文件名及其哈希值,而无需手动与恶意电子邮件交互。
上图最右侧有一个省略号。如果单击该按钮,我们将获得可以对附件执行的其他操作。
下面是附加选项子菜单的屏幕截图。
让我们看一下字符串输出。
接下来我们看一下来自VirusTotal的信息。
由于 VirusTotal API 密钥是免费社区版本,因此分析人员可以手动导航到 VirusTotal 并执行文件哈希搜索以查看有关此附件的更多信息。
最后,您上传到 PhishTool 的任何提交内容都可以标记为恶意并通过注释进行解决。与您作为 SOC 分析师时的做法类似。
附件文件名和文件哈希将被标记为恶意。接下来,单击“解决”。
在下一个屏幕中,分析师可以根据下拉选项标记电子邮件。请参阅下面的 GIF。
注意:我没有对域名或IP地址进行进一步的分析。我也没有对电子邮件源自的根域进行任何研究。可以通过将附件上传到恶意软件沙箱来进一步分析它,以查看它到底在做什么,但我没有这样做。因此,这就是为什么没有为此恶意电子邮件选择其他标记工件和分类代码的原因。 :)
简单地扩展一下分类代码,并非所有网络钓鱼电子邮件都可以归类为相同的类别。分类代码允许我们使用特定代码标记案例,例如捕鲸(高价值目标)。并非所有网络钓鱼电子邮件都会针对高价值目标,例如首席财务官 (CFO)。
Case
参考
https://medium.com/@mikmrc/tryhackme-phishing-analysis-tools-4164ce6a59bd
Conclusion
本会议室介绍的工具只是一些可以帮助您分析网络钓鱼电子邮件的工具。
作为防御者,您将提出自己喜欢的工具和技术来执行手动和自动分析。
以下是我们尚未在本会议室详细介绍的一些其他工具,值得一提: