Introduction

在这个房间中，我们将了解有助于我们分析网络钓鱼电子邮件的各种工具。我们将：

查看可以帮助我们检查电子邮件标头信息的工具。
涵盖获取电子邮件中超链接的技术，以及在 URL 缩短时展开 URL。
研究一些工具，可以为我们提供有关潜在恶意链接的信息，而无需直接与恶意链接交互。
涵盖从网络钓鱼电子邮件中获取恶意附件的技术，并使用恶意软件沙箱引爆附件，以进一步了解附件的用途。

警告：整个房间的样本包含来自实际垃圾邮件和/或网络钓鱼电子邮件的信息。如果您尝试与任何 IP、域、附件等进行交互，请务必小心。

What information should we collect?

在此任务中，我们将概述分析可疑或恶意电子邮件时执行的步骤。

以下是分析师（您）从电子邮件标题中收集的相关信息的清单：

发件人电子邮件地址
发件人IP地址
反向查找发件人IP地址
电子邮件主题行
收件人电子邮件地址（此信息可能位于抄送/密件抄送字段中）
回复电子邮件地址（如果有）
日期/时间

之后，我们请注意电子邮件正文和附件（如果有）。

以下是分析师（您）需要从电子邮件正文收集的工件清单：

任何 URL 链接（如果使用了 URL 缩短服务，那么我们需要获取真实的 URL 链接）
附件名称
附件的哈希值（哈希类型MD5或SHA256，最好是后者）

警告：请小心不要意外点击电子邮件中的任何链接或附件。

Email header analysis

我们需要收集的一些相关信息可以从电子邮件客户端或网络客户端（例如 Gmail、Yahoo! 等）直观地获取。但有些信息，例如发件人的IP地址和回复信息，只能通过电子邮件标头获取。

在网络钓鱼电子邮件 1 中，我们了解了如何通过筛选电子邮件的源代码来手动获取此信息。

下面我们将了解一些可以帮助我们检索此信息的工具。

首先要介绍的是 Google 的一个工具，它可以帮助我们分析 Google 管理工具箱中名为 Messageheader 的电子邮件标头。

根据网站，“Messageheader 分析 SMTP 邮件标头，这有助于确定递送延迟的根本原因。您可以检测配置错误的服务器和邮件路由问题”。

用法：复制并粘贴整个电子邮件标题并运行分析工具。

Messageheader: https://toolbox.googleapps.com/apps/messageheader/analyzeheader

另一个工具称为消息标头分析器。

Message Header Analyzer: https://mha.azurewebsites.net/

最后，您还可以使用mailheader.org。

尽管之前的网络钓鱼室中没有介绍，但消息传输代理 (MTA) 是在发件人和收件人之间传输电子邮件的软件。了解有关 MTA 的更多信息此处。既然我们正在讨论这个主题，请阅读有关 MUA（邮件用户代理）的信息此处。

注意：使用哪种工具的选择最终取决于您。最好有多个资源可供参考，因为每个工具可能会揭示另一个工具可能无法揭示的信息。

以下工具可以帮助您分析有关发件人 IP 地址的信息：

IPinfo.io：https://ipinfo.io/

根据网站，“借助 IPinfo，您可以精确定位用户的位置、定制他们的体验、防止欺诈、确保合规性等等”。

URLScan.io: https://urlscan.io/

根据网站，“urlscan.io 是一项扫描和分析网站的免费服务。当 URL 提交到 urlscan.io 时，自动流程将浏览到像普通用户一样记录此页面导航创建的活动，这包括联系的域和 IP、从这些域请求的资源（JavaScript、CSS 等）以及有关页面本身的其他信息。将会截取页面的屏幕截图，记录 DOM 内容、JavaScript 全局变量、页面创建的 cookie 以及大量其他观察结果如果该网站的目标用户是 urlscan.io 跟踪的 400 多个品牌之一，它将在扫描结果中突出显示为潜在恶意”。

请注意，urlscan.io 提供了 URL 的屏幕截图。提供了此屏幕截图，因此您不必明确导航到有问题的 URL。

您可以使用提供相同功能及更多功能的其他工具，例如 URL2PNG 和 Wannabrowser。

Talos Reputation Center: https://talosintelligence.com/reputation

Email body analysis

现在是时候将您的注意力转移到电子邮件正文了。这是恶意有效负载可以作为链接或附件传递给接收者的地方。

可以直接从 HTML 格式的电子邮件中手动提取链接，也可以通过筛选原始电子邮件标头来手动提取链接。

以下是通过右键单击链接并选择“复制链接位置”从电子邮件手动获取链接的示例。

借助工具也可以完成同样的任务。 URL Extractor 是可以帮助我们完成此任务的一个工具。

URL 提取器：https://www.convertcsv.com/url-extractor.htm

您可以将原始标题复制并粘贴到第 1 步：选择您的输入的文本框中。

提取的 URL 在步骤 3 中可见。

您还可以使用 CyberChef 通过提取 URL 配方来提取 URL。

提示：记下提取的 URL 的根域非常重要。您还需要对根域执行分析。

提取 URL 后，下一步是检查 URL 和根域的信誉。您可以使用上一个任务中提到的任何工具来帮助您完成此任务。

如果电子邮件包含附件，您需要安全地获取附件。在 Thunderbird 中使用“保存”按钮可以轻松完成此操作。

获取附件后，您可以获取其哈希值。您可以使用哈希值检查文件的信誉，看看它是否是已知的恶意文档。

获取文件的SHA256哈希值

           user@machine$ sha256sum Double\ Jackpot\ Slots\ Las\ Vegas.dot
c650f397a9193db6a2e1a273577d8d84c5668d03c06ba99b17e4f6617af4ee83  Double Jackpot Slots Las Vegas.dot

有许多工具可以帮助我们完成此任务，但我们将主要关注其中两个；下面列出了它们：

Talos 文件信誉：https://talosintelligence.com/talos_file_reputation

根据站点，“思科 Talos Intelligence Group 对数十亿个文件进行信誉处置。此信誉系统被馈送到 AMP、FirePower、ClamAV 和开源软件中Snort 产品系列。下面的工具允许您对 Talos 文件信誉系统进行随意查找，该系统限制您一次只能进行一次查找，并且仅限于哈希匹配。此查找不能反映高级功能的全部功能。恶意软件防护 (AMP) 系统”。

VirusTotal：https://www.virustotal.com/gui/

根据网站，“分析可疑文件和 URL 以检测恶意软件类型，并自动与安全社区共享它们。”

另一个值得一提的工具/公司是Reversing Labs，它也有文件信誉服务。

Malware Sandbox

幸运的是，作为防御者，我们不需要具备恶意软件分析技能来剖析和逆向工程恶意附件以更好地了解恶意软件。

有一些在线工具和服务可以上传和分析恶意文件，以更好地了解恶意软件的编程目的。这些服务被称为恶意软件沙箱。

例如，我们可以上传从潜在恶意电子邮件中获取的附件，并查看它尝试与哪些 URL 进行通信、将哪些额外负载下载到端点、持久性机制、妥协指标 (IOC) 等。

下面列出了其中一些在线恶意软件沙箱。

Any.Run：https://app.any.run/

根据站点，“分析网络、文件、模块和注册表活动。直接从浏览器与操作系统交互。立即查看您的操作的反馈 ”。

混合分析：https://www.hybrid-analysis.com/

根据该网站，“这是为社区提供的免费恶意软件分析服务，使用独特的混合分析技术检测和分析未知威胁。”

https://www.joesecurity.org/

根据该网站，“Joe Sandbox 为分析师提供了广泛的产品功能。其中：实时交互、URL 分析和基于人工智能的网络钓鱼检测、Yara 和 Sigma 规则支持、MITRE ATT&CK 矩阵、基于人工智能的恶意软件检测、邮件监控、威胁搜寻和情报、自动化用户行为、动态 VBA/JS/JAR 工具、执行图、本地化互联网匿名化等等”。