【转】钓鱼邮件攻击检测

参考连接：

钓鱼邮件的检测 - 简书

钓鱼邮件因此成为APT攻击的重要手法之一,隐藏在电子邮件中的附件中或者url链接中,在一定条件下激活,进行破坏和传播,轻则占用资源、破坏计算机系统部分功能,重则导致重要数据丢失、窃取机密信息,带来巨大的经济损失。

1. 有效内容提取

拿到一封可疑钓鱼邮件，获取邮件里面的数据，并对数据有效整理和提取

发件人邮箱
发件人IP地址
收件人邮箱
收件人IP地址
邮件附件名称
解析邮件头信息
内容中的URL链接
。。。。。。

2. 信誉度分析

在进行可疑钓鱼邮件判断是否是恶意邮件，可以通过威胁情报的信誉度、文件信誉度等进行综合打分评判，通过多种检测手段对可疑邮件进行加权打分，判断是否是恶意邮件。

威胁情报
开源威胁情报目前比较多，笔者经常使用的威胁情报网站是threatfeeds.io，该网站情报不仅免费而且更新非常快。
通过开源威胁情报，对邮件中的邮箱和IP地址进行有效碰撞，通过情报的信誉值，判断该IP地址是恶意IP的可信度。
文件信誉度
对邮件的附件通过沙箱模拟真实主机的操作，并对文件操作、注册表操作，网络行为等进行综合判断
URL信誉度
URL的信誉度，有两种方法，可以使用情报域名进行分析。或者使用白名单信誉库进行综合评判。

通过对可疑邮件的信誉度分析，判断文件可疑邮件是否是恶意，如果分数较低，关闭任务。如果分数较高，继续通过数据关联分析进一步判断

3. 关联分析

通过以上信誉度分析判断可疑钓鱼邮件是恶意的可能性后，通过历史数据和家族数据对其关联分析，形成知识图谱，还原攻击场景。

攻击组织判断
通过对文件、URL和情报分析后，基本能够得到恶意代码的机构和代码逻辑，能够知晓C&C架构结构。对历史样本进行恶意代码对面、活动时间等判断其攻击组织和家族。
溯源分析
通过whois信息和PDNS数据进行交互式分析，绘制攻击的图谱，溯源攻击者相关参与者。

4. 经验特征

1、看发件人地址：如果是公务邮件，发件人多数会使用工作邮箱，如果发现对方使用的是个人邮箱帐号或者邮箱账号拼写很奇怪，那么就需要提高警惕；

2、看邮件标题：“系统管理员”、“通知”、“订单”、“采购单”、“**”、“会议日程”、“参会名单”、“历届会议回顾”这类标题的邮件需要谨慎打开；

3、看正文措辞：对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕；

4、看正文目的：当心对方索要登录密码，一般正规的发件人所发送的邮件是不会索要收件人的邮箱登录账号和密码的；

5、看正文内容：当心邮件内容中需要点击的链接地址，若包含“&redirect”字段，很可能就是钓鱼链接；还要当心垃圾邮件的“退订”功能。

5. 沙箱触发

在可控安全环境内执行邮件整体内容或打开各种文件，检测运行进程及其log ，定位是否存在可疑行为。

参考连接：钓鱼邮件威胁检测实战及典型样本分析_If you can take it, you can make it.-CSDN博客_钓鱼邮件设计