Spam And Phishing学习笔记

Author： cheng
发布时间：May 18, 2023
849 views
No comments
3631 words
Categories：工具技能学习

垃圾邮件（Spam）和网络钓鱼（Phishing）是常见的社会工程攻击。

与邮件发送和接收相关的协议：

SMTP（Simple Mail Transfer Protocol）：用于电子邮件的发送
POP3（Post Office Protocol）：负责在客户端和邮件服务器之间传输电子邮件
IMAP（Internet Message Access Protocol）：负责在客户端和邮件服务器之间传输电子邮件

POP3和IMAP的定义是相同的，但二者是有区别的：

Email Header

Email Body

纯文本电子邮件、HTML格式电子邮件

Types of Phishing

Spam（垃圾邮件）：指发送大量未经请求的电子邮件或短信，通常包含广告或欺诈信息。
Phishing（网络钓鱼）：指攻击者通过伪造电子邮件、网站或应用程序等方式来诱骗受害者输入个人敏感信息，例如用户名、密码、银行卡号等。
Spear phishing（定向钓鱼）：指攻击者精心选择目标，并以更加具体和真实的方式进行网络钓鱼攻击，从而提高攻击成功率。
Whaling（捕鲸）：抓重要人物进行钓鱼，比如公司高管。
Smishling（短信钓鱼）：类似于网络钓鱼攻击，但是攻击者使用短信而不是电子邮件或在线链接等方式诱骗受害者泄露个人信息。
Vishing（语音钓鱼）：通过打电话、语音冒充银行等机构人员。

BEC(Business Email Compromise:商业电子邮件欺诈) 链接

上报这类URL和IP时，应该进行 Defanged.(使 URL/域或电子邮件地址不可点击的方法，以避免意外点击)。

举个例子：

有一个地址是 http://www.nosafe.com ，进行defanging后就成为了 hxxp[://]www[.]nosafe[.]com

https://app.any.run/tasks/12dcbc54-be0f-4250-b6c1-94d548816e5c/#

域名仿冒

其他资源：
https://www.knowbe4.com/phishing
https://www.itgovernance.co.uk/blog/5-ways-to-detect-a-phishing-email
https://cheapsslsecurity.com/blog/10-phishing-email-examples-you-need-to-see/
https://phishingquiz.withgoogle.com

工具篇

Email Header Analysis

MessageHeader分析SMTP邮件头，这有助于确定传递延迟的根本原因。您可以检测配置错误的服务器和邮件路由问题.

https://toolbox.googleapps.com/apps/messageheader/analyzeheader

Message Header Analyzer:消息头分析器

https://mha.azurewebsites.net/

https://mailheader.org/

分析有关发件人IP地址:

IPinfo.io: https://ipinfo.io/

URLScan:https://urlscan.io/ (免费的扫描和分析网站的服务)

Talos Reputation Center: https://talosintelligence.com/reputation

Email Body

URL Extractor(URL 提取器): https://www.convertcsv.com/url-extractor.htm

cyberchef也可以->选择Extract URLs

分析文件是否为恶意文件

Talos File Reputation: https://talosintelligence.com/talos_file_reputation

VirusTotal: https://www.virustotal.com/gui/

在线恶意软件沙箱

从潜在恶意电子邮件中获得的附件，并查看它试图与哪些URL进行通信，哪些额外的有效负载被下载到端点，持久性机制，妥协指标（IOC）等

Any.Run: https://app.any.run/

一个免费的恶意软件分析服务，为社区提供独特的混合分析技术，用于检测和分析未知的威胁。

Hybrid Analysis: https://www.hybrid-analysis.com/

Joe Sandbox为分析人员提供了广泛的产品功能，其中包括：实时交互、URL分析和基于人工智能的钓鱼检测、Yara和Sigma规则支持、MITRE ATT＆CK矩阵、基于人智能的恶意软件检测、邮件监控、威胁狩猎和情报、自动化用户行为、动态VBA / JS /AR仪器化、执行图、本地化互联网匿名化等等。

Joe Sandbox: https://www.joesecurity.org/

Email Analysis

PhishTools: https://app.phishtool.com/submit

https://mxtoolbox.com/
https://phishtank.com/
https://www.spamhaus.org/

Sample 1: https://app.any.run/tasks/8bfd4c58-ec0d-4371-bfeb-52a334b69f59

Sample 2: https://app.any.run/tasks/82d8adc9-38a0-4f0e-a160-48a5e09a6e83

Last modification：May 18, 2023

请我喝瓶冰阔落吧

Spam And Phishing学习笔记

cheng • 2023 年 05 月 18 日

垃圾邮件（Spam）和网络钓鱼（Phishing）是常见的社会工程攻击。与邮件发送和接收相关的协议：<ul><li>SMTP（Simple Mail Transfer Protocol）：用于电子邮件的发送</li><li>POP3（Post Office Protocol）：负责在客户端和邮件服务器之间传输电子邮件</li><li>IMAP（Internet Message Access Protocol）：负责在客户端和邮件服务器之间传输电子邮件</li></ul><code>POP3</code>和<code>IMAP</code>的定义是相同的，但二者是有区别的：<a class="no-external-link" href="https://help.dreamhost.com/hc/en-us/articles/215612887-Email-client-protocols-and-port-numbers" target="_blank">相关资料</a><blockquote><ol><li>工作方式：POP3是一种下载协议，它会将邮件从服务器上下载到本地计算机上，并从服务器上删除邮件。IMAP则是一种远程访问协议，它允许用户在服务器上管理邮件，而不是将邮件下载到本地计算机上。</li><li>邮件存储：POP3协议通常会将邮件存储在本地计算机上，而IMAP协议则将邮件存储在服务器上。这意味着，如果您使用多个设备访问电子邮件，IMAP协议更适合您，因为您可以在所有设备上访问相同的邮件。</li><li>邮件同步：由于POP3协议将邮件下载到本地计算机上，因此如果您在一个设备上删除了邮件，它不会在其他设备上删除。但是，IMAP协议会在所有设备上同步邮件状态，因此如果您在一个设备上删除了邮件，它将在所有设备上删除。</li><li>邮件访问：由于IMAP协议允许用户在服务器上管理邮件，因此用户可以访问所有文件夹和标记，而POP3协议只允许用户访问收件箱。</li></ol></blockquote>常用端口对照SMTP默认端口是 25；POP3的默认端口是 110；IMAP的默认端口是 143加密版本的对应端口：SMTPS（smtp over SSL/TLS):默认端口 465；POP3S（pop3 over SSL/TLS）的默认端口是 995；IMAPS默认为993<h2>Email Header</h2><a class="no-external-link" href="https://mediatemple.net/community/products/all/204643950/understanding-an-email-header" target="_blank">相关信息</a><a class="no-external-link" href="https://search.arin.net/" target="_blank">ARIN网站查询</a><h2>Email Body</h2>纯文本电子邮件、HTML格式电子邮件<h2>Types of Phishing</h2><ul><li>Spam（垃圾邮件）：指发送大量未经请求的电子邮件或短信，通常包含广告或欺诈信息。</li><li>Phishing（网络钓鱼）：指攻击者通过伪造电子邮件、网站或应用程序等方式来诱骗受害者输入个人敏感信息，例如用户名、密码、银行卡号等。</li><li>Spear phishing（定向钓鱼）：指攻击者精心选择目标，并以更加具体和真实的方式进行网络钓鱼攻击，从而提高攻击成功率。</li><li>Whaling（捕鲸）：抓重要人物进行钓鱼，比如公司高管。</li><li>Smishling（短信钓鱼）：类似于网络钓鱼攻击，但是攻击者使用短信而不是电子邮件或在线链接等方式诱骗受害者泄露个人信息。</li><li>Vishing（语音钓鱼）：通过打电话、语音冒充银行等机构人员。</li></ul>BEC(Business Email Compromise:商业电子邮件欺诈) <a class="no-external-link" href="https://www.proofpoint.com/us/threat-reference/business-email-compromise" target="_blank">链接</a>上报这类URL和IP时，应该进行 <code>Defanged</code>.(使 URL/域或电子邮件地址不可点击的方法，以避免意外点击)。举个例子：<pre><code class="lang-sh">有一个地址是 http://www.nosafe.com ，进行defanging后就成为了 hxxp[://]www[.]nosafe[.]com</code></pre><a class="no-external-link" href="https://app.any.run/tasks/12dcbc54-be0f-4250-b6c1-94d548816e5c/#" target="_blank">https://app.any.run/tasks/12dcbc54-be0f-4250-b6c1-94d548816e5c/#</a> <a class="no-external-link" href="https://www.csoonline.com/article/3600594/what-is-typosquatting-a-simple-but-effective-attack-technique.html" target="_blank">域名仿冒</a><blockquote>其他资源：<ul><li><a class="no-external-link" href="https://www.knowbe4.com/phishing" target="_blank">https://www.knowbe4.com/phishing</a></li><li><a class="no-external-link" href="https://www.itgovernance.co.uk/blog/5-ways-to-detect-a-phishing-email" target="_blank">https://www.itgovernance.co.uk/blog/5-ways-to-detect-a-phishing-email</a></li><li><a class="no-external-link" href="https://cheapsslsecurity.com/blog/10-phishing-email-examples-you-need-to-see/" target="_blank">https://cheapsslsecurity.com/blog/10-phishing-email-examples-you-need-to-see/</a></li><li><a class="no-external-link" href="https://phishingquiz.withgoogle.com" target="_blank">https://phishingquiz.withgoogle.com</a></li></ul></blockquote><hr>工具篇<h2>Email Header Analysis</h2>MessageHeader分析SMTP邮件头，这有助于确定传递延迟的根本原因。您可以检测配置错误的服务器和邮件路由问题.<blockquote><a class="no-external-link" href="https://toolbox.googleapps.com/apps/messageheader/analyzeheader" target="_blank">https://toolbox.googleapps.com/apps/messageheader/analyzeheader</a></blockquote>Message Header Analyzer:消息头分析器<blockquote><a class="no-external-link" href="https://mha.azurewebsites.net/" target="_blank">https://mha.azurewebsites.net/</a></blockquote><a class="no-external-link" href="https://mailheader.org/" target="_blank">https://mailheader.org/</a>分析有关发件人IP地址:IPinfo.io: <a class="no-external-link" href="https://ipinfo.io/" target="_blank">https://ipinfo.io/</a>URLScan:<a class="no-external-link" href="https://urlscan.io/" target="_blank">https://urlscan.io/</a> (免费的扫描和分析网站的服务)Talos Reputation Center: <a class="no-external-link" href="https://talosintelligence.com/reputation" target="_blank">https://talosintelligence.com/reputation</a><h2>Email Body</h2>URL Extractor(URL 提取器): <a class="no-external-link" href="https://www.convertcsv.com/url-extractor.htm" target="_blank">https://www.convertcsv.com/url-extractor.htm</a>cyberchef也可以-&gt;选择<code>Extract URLs</code>分析文件是否为恶意文件Talos File Reputation: <a class="no-external-link" href="https://talosintelligence.com/talos_file_reputation" target="_blank">https://talosintelligence.com/talos_file_reputation</a>VirusTotal: <a class="no-external-link" href="https://www.virustotal.com/gui/" target="_blank">https://www.virustotal.com/gui/</a> 在线恶意软件沙箱<blockquote>从潜在恶意电子邮件中获得的附件，并查看它试图与哪些URL进行通信，哪些额外的有效负载被下载到端点，持久性机制，妥协指标（IOC）等</blockquote>Any.Run: <a class="no-external-link" href="https://app.any.run/" target="_blank">https://app.any.run/</a><blockquote>一个免费的恶意软件分析服务，为社区提供独特的混合分析技术，用于检测和分析未知的威胁。</blockquote>Hybrid Analysis: <a class="no-external-link" href="https://www.hybrid-analysis.com/" target="_blank">https://www.hybrid-analysis.com/</a><blockquote>Joe Sandbox为分析人员提供了广泛的产品功能，其中包括：实时交互、URL分析和基于人工智能的钓鱼检测、Yara和Sigma规则支持、MITRE ATT＆CK矩阵、基于人智能的恶意软件检测、邮件监控、威胁狩猎和情报、自动化用户行为、动态VBA / JS /AR仪器化、执行图、本地化互联网匿名化等等。</blockquote>Joe Sandbox: <a class="no-external-link" href="https://www.joesecurity.org/" target="_blank">https://www.joesecurity.org/</a><h2>Email Analysis</h2>PhishTools: <a class="no-external-link" href="https://app.phishtool.com/submit" target="_blank">https://app.phishtool.com/submit</a><a class="no-external-link" href="https://mxtoolbox.com/" target="_blank">https://mxtoolbox.com/</a> <a class="no-external-link" href="https://phishtank.com/" target="_blank">https://phishtank.com/</a> <a class="no-external-link" href="https://www.spamhaus.org/" target="_blank">https://www.spamhaus.org/</a>Sample 1: <a class="no-external-link" href="https://app.any.run/tasks/8bfd4c58-ec0d-4371-bfeb-52a334b69f59" target="_blank">https://app.any.run/tasks/8bfd4c58-ec0d-4371-bfeb-52a334b69f59</a>Sample 2: <a class="no-external-link" href="https://app.any.run/tasks/82d8adc9-38a0-4f0e-a160-48a5e09a6e83" target="_blank">https://app.any.run/tasks/82d8adc9-38a0-4f0e-a160-48a5e09a6e83</a>

Email Header

Email Body

Types of Phishing

Email Header Analysis

Email Body

Email Analysis

Leave a Comment Cancel reply 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Spam And Phishing学习笔记

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款