钓鱼邮件分析

背景

好久没写文章了，今天水一篇。在2024.01.15凌晨05:53分收到了一封来之人事同事的邮件，邮件只是一张图片，其邮件内容是关于补贴申请的。随后对该邮件进行展开分析，溯源和应急同步进行。

事件分析

2024.01.15的凌晨五点邮箱收到钓鱼邮件：

扫码后识别：https://www.2024115.site

但是发现每一次扫码之后的最终域名都是不一样的。

http://iqufkrj.oqqjedak.id0ymzee.sbs/
http://ycwdkljubynr.mbrzjwwpeo.edsczy1s.sbs/
http://ykaqq.wdboozdhahuzwh.id0ymzee.sbs/

通过查询域名：www.2024115.site；发现该域名在2024/01/15注册

得到该域名解析的IP为：43.135.35.213

查询该IP解析的IP的情报：43.135.35.213

发现该IP绑定了许多类似于随机的域名，这就可以解释了上面每一次扫码之后的最终域名不一致的原因。

发现该IP在1.10号就已经开始大规模的钓鱼诈骗

尝试反制该服务器

发现开启了：8888、80、443端口

443端口，根据网站图标可以发现手一个用ThinkPHP搭建的网站

80端口，一个宝塔面板，但是不知道详细的URI

尝试报错之后，看到了该CMS的版本

发现目标站点为：ThinkPHP  V6.0.12LTS 框架搭建的。

尝试使用该版本的反序列化漏洞进行攻击：https://blog.51cto.com/u_12364708/5508636

使用POC攻击无果，被宝塔的防火墙拦截

深度攻击：

太菜了，还在研究如何绕过宝塔防火墙，待续。。。。。。。。

应急响应

1. 马上登录该同事的邮箱进行撤回邮件。

2. 在整个集团发布通知，谨防员工上当受骗。

3. （可能有师傅疑问，为什么没去分析邮件头。是因为这邮件是内部账号发送的。）

总结

临近年底，骗子动作频繁，请各位师傅擦亮眼睛，谨防上当受骗！

反诈宣传人人有责,为维护我们的和平家园一起努力。