电子邮件是现代世界的主要通信方式之一。我们使用电子邮件来接收有关我们的在线购物、货币交易、信用关怀声明、OTP 以验证注册过程、工作申请/试镜/学校录取以及许多其他目的的通知。由于全球许多人都依赖电子邮件进行通信，因此网络钓鱼电子邮件攻击是网络犯罪分子最喜欢的。

在这种攻击中，网络犯罪分子设计了看起来令人信服的电子邮件，并将其发送给目标人员。发件人假装是你认识的人，你可以信任的人，比如你的朋友，或者亲密的联系人，或者它可以是你保存收入的银行，甚至是你可能拥有账户的社交媒体平台。

在这篇文章中，我将尝试关注在分析恶意网络钓鱼电子邮件时要查看的内容。但是，这绝不会详细涵盖每个步骤，但对于新手来说肯定足够了。

• 相关视频教程

• 恶意软件开发（更新到了155节）

标题分析：

电子邮件分为两部分，标题和正文。正文部分通常包含发送给收件人的信息，标题部分保留电子邮件的路由信息。元数据可能包含其他信息，例如内容类型、发件人、收件人、送达日期、发件人来源、邮件服务器，以及用于发送/接收电子邮件的实际电子邮件地址。

重要标题

返回路径：

返回路径电子邮件地址接收传递状态信息。为了获取未送达的电子邮件或任何其他退回的邮件，我们电子邮件的服务器使用 Return-Path。收件人服务器使用此字段来识别欺骗电子邮件。在此过程中，收件人服务器将检索与发件人域相关的所有允许的 IP，并与发件人 IP 匹配。如果它未能提供任何匹配项，我们可以将其视为垃圾邮件。

收稿日期：

此字段显示与所有跃点相关的信息，电子邮件通过这些跃点传输。最后一个条目将显示电子邮件服务器的初始地址。

回复：

此字段的电子邮件地址实际上用于接收回复消息。它可能与欺骗电子邮件中的地址不同。

收到的 SPF：

SPF（发件人策略框架）有助于验证从实际所有者拥有的服务器发送的特定域中出现的消息。如果值为 Pass，则电子邮件源有效。

DKIM的：

域密钥识别邮件在标头内使用加密签名对传出电子邮件进行签名，收件人电子邮件服务器使用共享公钥对其进行解密，以检查邮件是否在两者之间进行了更改。

X-Headers：

这些标头称为实验标头或扩展标头。它们通常由收件人邮箱提供商添加。X-FOSE-Spam 和 X-Spam-Score 等字段用于识别垃圾邮件。

让我们通过示例来理解它们：

1）在上面的例子中，我们注意到返回路径与发件人地址不匹配，这意味着任何未送达的电子邮件都将返回到返回路径电子邮件地址。

2）在“已接收”字段中，发送此电子邮件的域名 hiworks.co.kr（电子邮件欺骗网站），而不是明显不合法 gki.com。

甚至 IP （142.11.243.65） 也不符合 Whois 查询的 gki.com。

3） 发件人电子邮件地址与回复电子邮件地址不同。这显然意味着实际回复将转到 @gmail.com 而不是 @gki.com

4） Received-SPF 值为中性;域 gki.com 既不允许也不拒绝 IP （142.11.243.65）。在进一步确认Whois查询时，我们看到该域不属于IP（142.11.243.65）。

5） DKIM 是无的。这意味着电子邮件未签名。

上述信息表明，这封电子邮件显然是一封欺骗性电子邮件。我们应该将提取的电子邮件 ID 放在阻止列表中。

电子邮件正文分析：

我们通常收到的网络钓鱼电子邮件的电子邮件正文主要通过其内容中具有忠实和可靠的内容来获得我们的信任。它是如此个性化的真实性，以至于受害者别无选择，只能相信它并落入陷阱。让我们看看下面的例子，了解在这种情况下应该采取什么行动。

在上面的电子邮件中，垃圾邮件发送者假装是医疗保险服务提供商，这封邮件是关于受害者最近购买的 COVID-19 保险计划的健康计划付款发票。

此外，如果我们仔细查看电子邮件的底部，我们可以看到消息“迈克菲已扫描此电子邮件”。这使得电子邮件可信且值得信赖。

现在，如果我将鼠标指针放在 |查看详情|按钮，将弹出一个链接。我们必须复制它以执行，而不是单击链接。

为了执行上述链接，我更愿意将其加载到隔离的环境中。如果您没有，可以使用 https://www.browserling.com/ 等在线浏览器服务。

hxxps://1drv[.]ms/u/s！ajmzc7fpBw5lrzwfPwIkoZRelG4D

在浏览器中加载链接后，它会下载一个 html 附件。

单击html文件进一步将我带到另一个网站。该网站的模板类似于 Microsoft Excel 在线文档，它要求我的 Office 365 登录详细信息才能下载它。

hxxps://selimyildiz[.]com.tr/wp-includes/fonts/greec/xls/xls/open/index.htm

为了进一步验证网页是否真实，我们必须将 URL 缩短到其域级别并加载它。

该域名登陆到一个 word press 登录页面，内容是土耳其语，这很可疑。

为了确认身份，我尝试使用domaintools找出whois信息。

结果相当令人震惊。此域名未向任何注册人注册。它解析为完全不属于 Microsoft 的公共 IP 2.56.152.159。该信息清楚地表明它不是一个真实的网站。

现在为了检查行为，我回到登录页面，输入一些随机凭据，然后尝试下载发票。不出所料，我发现登录失败错误。在这里，我们可以假设登录失败可能有两个可能的原因。首先，让受害者相信这是一个真实的登录页面，其次是确认输入的密码是否正确，因为受害者可能会打错。

既然我们知道这是假的，那么下一步是什么？为了验证身份验证检查，我再次输入随机凭据并宾果游戏！这一次，它重定向到一张pdf发票，通过显示它属于某个医疗公司，它看起来是真实的。然而，可悲的是，如果受害者落入这个陷阱，那么当他意识到这是一张假发票时，他的登录凭据将被网络钓鱼。

电子邮件附件分析：

大多数情况下，在电子邮件中，我们将两种主要类型的文档共享为附件，Microsoft办公文档或PDF文件。这些主要用于基于文档的恶意软件活动。为了利用目标系统，攻击者通常使用 VBA 或 Javascript 感染这些文档，并通过（网络钓鱼）电子邮件分发它们。

在本部分的第一部分中，我们将分析恶意 word 文档。这种类型的文档包含恶意的 Visual Basic 应用程序 （VBA） 代码，称为宏。通常，宏会在打开文档时触发，但从 Microsoft Office 2007 开始，除非用户启用宏内容，否则宏无法自行执行。为了对付这种表演者，攻击者会借助各种社会工程方法，其主要目标是在受害者内部建立信任，以便他毫不犹豫地点击“启用编辑”按钮。

Word文档分析：

文件名：PR_Report.bin

唯一哈希码：e992ffe746b40d97baf56098e2110ff3978f8229ca333e87e24d1539cea7415c

工具：

- Oletools

- Yara

- Didier Stevens Suite

- Process Monitor

- Windows Network Monitor (Packet capture tool)

步骤1：文件属性入门

在开始任何文件分析之前，熟悉属性始终是一种很好的做法。我们可以在 Linux 中使用“file”命令获取详细信息。

• 我们发现该文件是“Microsoft Office Word文件”

• 创建时间/日期：Thu Jun 28 16：48：00 2018

• 上次保存时间：Thu Jun 28 16：54：00 2018

步骤2：应用yara规则

yara是一种识别和分类恶意软件的工具。此工具用于对任何文件进行基于签名的检测。让我们来看看 Didier Stevens Suites 的几个预制的 Yara 规则。

• 上述yara规则 （maldoc.yara） 与 OLE 文件幻数 （D0 CF 11 E0） 匹配，该幻数只不过是 Microsoft 办公文档的十六进制标识符。

• 它还会在文件中检测一些可疑的导入，例如 GetProcAddr、LoadLibrary

• 此 Yara 规则 （contains_pe_file.yara） 检查文件是否嵌入了任何 PE 文件。基于此，它匹配文件中的上述字符串。MZ 是 PE 文件的签名。

步骤 3：使用 oledump.py 转储文档内容

众所周知，OLE 文件包含数据流。Oledump.py 将帮助我们进一步分析这些流，以从中提取宏或对象。

如果我们仔细观察上图，我们可以在流 8、9 和 15 中分别看到两个字母“M”和“O”。此处“M”表示流可能包含宏代码，“O”表示对象。

现在从这些流中提取宏并进一步分析它们。

步骤 4：在宏中提取 VB 脚本

• 在流 8 中，代码包含一个名为“killo”的方法。此函数保存具有相同文件名的文档。

• 在流 9 中，代码提供了许多有趣的信息。

> 在 Document_Open（） 函数中，我们可以找到像 5C.pif、6C.pif 这样的文件名，其中 5C.pif 使用 FileCopy 函数处理“6C.pif”。

> 在后面的部分中，该函数从另一个模块（流 8）调用“killo”方法。

> 最后，Document_Close（） 函数使用 shell 执行一个混淆命令。反混淆后，我们看到它在后台执行 6C.pif（使用 vbHide 方法）并一起 ping localhost。

Shell cmd.exe /c ping localhost -n 100 && start Environ（“Temp”） & “6C.pif”， vbHide

步骤 5：从 ole 对象中提取文件。

很明显，该文档具有嵌入的文件。现在使用 oleobj 工具找出并提取它。

• 如上所示，oleobj 从对象中提取嵌入的文件并将其保存在当前工作目录中。

• 上面突出显示的部分还提供了有关源路径和临时路径的详细信息，文件在执行文档后将自身保存在受害者系统中。

第 6 步：从提取的文件中获取静态信息。

• 以上信息向我们表明，这是 MS Windows 的 PE32 可执行文件。

• 为了确认，我们还可以运行 pecheck.py 工具并在文件中找到 PE 标头。

第 7 步：行为分析

设置 Windows7 32 位 VM，将文件扩展名更改为“.exe”，只需在执行前运行 Apate DNS 和 Windows 网络监控工具即可。

• Apate DNS 和 Microsoft 网络监控工具中的结果显示，该文件已创建进程名称5C.exe并反复尝试连接到多个 C2 服务器。

• 使用进程监视器，我们可以看到在Internet设置的注册表项中也进行了一些修改。

— HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsProxyEnable

通过将 ProxyEnable 的值设置为 0 来禁用 IE 浏览器代理。

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnectionsSavedLegacySettings

SavedLegacySettings 将第 9 个字节值设置为“09”。这意味着浏览器将自动检测互联网设置。

我们可以将其总结为，word文档首先使用宏运行VBA脚本，删除并运行嵌入式可执行文件，创建新进程，与C2服务器通信，进行未经授权的注册表更改。这些信息足以怀疑文档是恶意的。从这一点开始，如果我们愿意，我们可以进行更详细的分析，例如调试可执行文件或分析进程转储，以了解有关文件行为的更多信息。

IOC:

sha256

cd78243e2a4e94cd61aa95edfb4708ceeed5a3ed50ee9b81c57d0935908eb23e

sha1

cff68a1aa51625614e2070dce0dac366c9b51bdd

md5

efc7632808131481c08ea08ae3fcb510

Domain

api.ipify[.]org

recandritlo[.]com

wroninbenot[.]ru

sinthatmiling[.]ru

kampotpepper[.]no

URL

hxxp://sinthatmiling[.]ru/mlu/forum.php

hxxp://wroninbenot[.]ru/4/forum.php

hxxp://recandritlo[.]com/mlu/forum.php

hxxp://api.ipify[.]org/

hxxp://wroninbenot[.]ru/mlu/forum.php

hxxp://recandritlo[.]com/4/forum.php

hxxp://kampotpepper[.]no/wp-content/plugins/pmc-disable-comments/1

hxxp://kampotpepper[.]no/wp-content/plugins/pmc-disable-comments/2

hxxp://kampotpepper[.]no/wp-content/plugins/pmc-disable-comments/3

hxxp://sinthatmiling[.]ru/4/forum.php

PDF文档分析：

PDF 文档可以定义为描述页面在文件中应如何显示的对象集合。

通常，攻击媒介使用电子邮件或其他社会工程技能来引诱用户单击或打开pdf文档。当用户打开pdf文件时，它通常会在后台执行JavaScript，这可能会利用现有漏洞，在Adobe pdf阅读器中保留，或者删除可执行文件作为有效负载，从而实现其余目标。

pdf文件有四个组成部分。它们是标题、正文、参考和拖车。

- 页眉是文档的最顶部部分。它显示与文档版本相关的信息。

- 主体可能包含所有类型的对象（对象由流组成。这些流用于存储数据）。

- 交叉引用表指向每个对象。

- 预告片指向交叉引用表。

文件名：Report.pdf

Sha256: a7b423202d5879d1f9e47ae85ce255e3758c5c1e5b19fcd56691dab288a47b4c

Tools –

- Didier Stevens Suite

- Peepdf

- Process Monitor

- Microsoft Network Monitor

第 1 步：使用 PDFiD 扫描 pdf 文档

PDFiD 是 Didier Stevens Suite 的一部分。它使用字符串列表扫描 pdf 文档，这可以帮助您识别 Javascript、嵌入式文件、打开文档时的操作以及 pdf 文件中某些特定字符串的出现次数等信息。

- 根据上面显示的结果，PDFiD已经确定了Report.pdf文件中存在的对象、流、/JS、/Javascript、OpenAction的数量。以下是有关它们的一些信息。

→ /JS、/Javascript 或 /RichMedia 表示 Pdf 文档包含 Javascript 或 Flash 媒体。

→ /Embedded 文件表示 pdf 文件中存在其他文件格式。

→/OpenAction、AA、/Acroform 告诉我们，当打开/查看 pdf 文档时，应执行自动操作。

→ 流包含对象内的数据。

第 2 步：查看对象内部

我们现在发现 pdf 文件中存在一个 Javascript，所以让我们从那里开始。我们将运行 pdf-parser.py 来搜索 java 脚本间接对象。

→ 上面的结果显示，每当打开pdf时，Javascript都会启动文件“病毒”，因此在下一步中，我们将从pdf中提取上述文件。

第 3 步：使用 peepdf 提取嵌入文件。

Peepdf 是一个内置于 python 的工具，它在一个地方提供了 PDF 分析期间所需的所有必要组件。

语法：peepdf –i Report.pdf

语法 （-i） 表示启用交互模式。

要了解更多信息，只需键入 help 并浏览它将显示的选项

→ 上面来自 peepdf 的结果表明嵌入的文件在对象编号 14 中可用。进入对象 14 内部，我们发现它指向对象 15;类似地，对象15进一步指向对象16。最后，我们得到了对象 17 中存在文件“病毒”的线索。通常，为了避免检测，攻击者会设计这样的文档。现在，如果我们查看 PDF 版本 1，只有一个可用的流也指向 17。看到这一点，我们就知道对象 17 是一个流，文件在里面可用。

→ 现在在流 17 中，我们得到以 MZ 开头的文件签名和以 4d 5a 开头的十六进制值，这表明这是一个 PE 可执行文件。

→ 现在将流另存为virus.exe并运行文件命令进行确认。

第 4 步：行为分析

现在设置一个 Windows 7 32 位虚拟机并执行该文件。

→ 如进程资源管理器所示，virus.exe创建了几个可疑进程（zedeogm.exe、cmd.exe），它们在执行后被终止。

进程监视器中的结果显示文件已作为zedeogm.exe删除。后来它修改了Windows防火墙规则。然后它执行了WinMail.exe然后开始cmd.exe执行“tmpd849fc4d.bat”并退出了该进程。

在这一点上，我们已经收集了足够的证据来怀疑pdf文件是恶意的。我们还可以对提取的 IOC 执行额外的预防措施，例如二进制调试和内存取证，以寻找进一步的威胁。

IOC

26d1cb7da39d5920718452569aa2f1d90b624919f91e0164c1595c821e0902ac

0419fe98b1fa2f97e1e0021532c6b9080729d0809dcb53bd1ad135378fb03ba6

e0ab23b321b589b0ffae708ee17eca2538ddb43d22263de6d111d37c6f8d751a

a7b423202d5879d1f9e47ae85ce255e3758c5c1e5b19fcd56691dab288a47b4c

结论：

该分析完全专注于快速分类与电子邮件标题、正文和附件相关的 IP、URL、恶意脚本和可执行文件。

在上面的文章中，我们介绍了攻击者主要针对的可能区域。我们已经了解了如何通过标题分析来确认电子邮件是否合法。

我们已经发现了恶意 URL 如何隐藏在电子邮件正文中，并对其进行了分析，以进一步查看它是否是恶意的。

我试图解释基本的文档分析方法，这些方法以电子邮件附件的形式出现。我应用沙盒方法来分析文件行为，并从中提取 IOC。

不过，如果您愿意，您可以借助逆向工程和去混淆技能进一步深入地了解事件。

• 二进制漏洞课程(更新中)

• windows网络安全防火墙与虚拟网卡（更新完成）

• windows文件过滤(更新完成)

• USB过滤(更新完成)

• 游戏安全(更新中)

• ios逆向

• windbg

• 还有很多免费教程(限学员)

• 更多详细内容添加作者微信