几百封钓鱼邮件如何分析?一个简单的方法告诉你!

前几天的时候收到一批钓鱼邮件需要分析,打开一看就傻了眼,大概有几百封,而且基本上每一封都是钓鱼邮件,第一反应是很崩溃,这么多如何分析?但是客户那边又着急要,那只能先上了:

一、 起  因 

前几天的时候收到一批钓鱼邮件需要分析,打开一看就傻了眼,大概有几百封,而且基本上每一封都是钓鱼邮件,第一反应是很崩溃,这么多如何分析?但是客户那边又着急要,那只能先上了:

图片

如果你想学习测试开发,我这边给你推荐一套视频,这个视频可以说是B站播放全网第一的测试开发教程,同时在线人数到达1000人,并且还有笔记可以领取及各路大神技术交流:798478386   

阿里巴巴P8级Python测试开发大佬,手把手教你如何独立搭建测试平台开发实战!学会这个根本不担心找不到高薪工作_哔哩哔哩_bilibili阿里巴巴P8级Python测试开发大佬,手把手教你如何独立搭建测试平台开发实战!学会这个根本不担心找不到高薪工作共计12条视频,包括:1. 为么什‬要pytest高插阶‬件定开制‬发、2. 如何搞定pytest插的件‬开发线上‬与发布、3. pytest框高架‬阶用之法‬插件制机‬及定制思路等,UP主更多精彩视频,请关注UP账号。icon-default.png?t=N7T8https://www.bilibili.com/video/BV1Lk4y1J7yq/?spm_id_from=333.337.search-card.all.click

发过来的邮件都是 eml 格式的,这些直接导入到本地邮箱即可查看,于是乎,就有了这么多:

图片

图片

嗯,这样看上去,蛮好看的,这只是一个文件夹的而已,还有几个文件夹,那就一个个看吧……

经过一通分析,发现这里面的邮件大致可以分为以下几种:

图片

02、恶意链接钓鱼邮件 

在这类邮件中,主要是依靠钓鱼邮件发送钓鱼链接,由受害者进行主动点击链接之后进行触发访问第三方网站,这里面之所以没有直接放木马病毒文件,大概是因为客户使用的是国内的某主流邮箱,而这类邮箱网关会对未信任的exe文件进行查杀,这类文件再细分的话,又可以分为三类:

而这类邮箱会对未信任的 exe 文件进行查杀,这类文件再细分的话,又可以分为三类:

① 钓鱼邮件通知修改密码类

② 邮箱状态异常,发送钓鱼链接进行引导修改密码类

③ 各种通知类文件,带有强烈的职场工作性质,诱导受害者主动点击链接

一、 钓鱼修改密码

这种钓鱼方式相对来说比较低端,攻击者可以通过伪造发件人的方式来伪造一个发信邮箱发送这类邮件,但是对于一些安全意识薄弱的员工来说,这类邮件还是具有一定的杀伤力:

有这样被举报的封号,修改密码的:

图片

有这样账号状态异常,需要恢复使用的:

图片

对其中的链接进行了整理,一部分信息如下:

http://t.cn/Ai3B8Qzx
http://f3carparts.xyz/cmc/abf/emal/f=topnbc
http://yicuntu.info/cmc/sut/emal/f=tabcs
http://985.so/xxx

http://rrd.me/exxxt.cn属于新浪旗下的短链接生成平台,对应的真实链接为 http://f3carparts.xyz/cmc/abf/emal/f=topnbc,因为时间较久,目前该地址已经无法访问,而且根据经验判断,这个真实链接的机器应该是一个跳板机,溯源价值不大。

而另外的 985.so 和 rrd.me 同样属于短链接生成平台,转到的新链接依旧无法访问,价值不大。

图片

二、 工作内容式 pua 网页钓鱼

这类邮件与工作有关,带有强烈的标题吸引度,应该每一个人都会打开,因为涉密,只放一张图

图片

这里的邮件信息均可进行伪造,同样的方式,按照链接操作就会中招!!!

三、 宏 病 毒 

在这里 word 里面均含有宏病毒,对其中的一个数据进行分析如下:

文件名:附件:关于xxx办公文件指示
文件md5: ba20defa88b50f72c6e642c39aca88e7

 使用 oledump 进行分析如下:
在模块 8 处有一个 M,说明该模块中有宏,提取其中的宏源码

图片

这是一个 Office 宏病毒 APMP,该宏代码用来判断标识位是否含有 APMP 宏病毒,如果没有的话,将这个代码写进去,这个是一个蠕虫病毒,能够持续复制传播。

四、远程宏病毒加载

在新发现的文件里面找到了一个 docx 的文件,对该文件保存为 rar 文件解压之后,在里面发现了一个远程加载执行的宏模版。之所以使用远程加载宏病毒的原因主要是为了躲避查杀。

图片


这个是在 document.xml.rels 中存在的链接,主要是一个 words 远程宏文件加载的作用,当用户点击 word,启用宏之后就会远程加载该宏文件,因此对于大部分人来说,一般也用不到宏文件,所以能够禁用就绝对禁用!!!

图片

五、 总  结 

对于这类钓鱼邮件来说,谨慎、谨慎、谨慎 是关键!!!

这不,让他们搭建的钓鱼平台已经搭好了,钓鱼的邮件马上就来了!!

图片

图片

因为这次的信息比较敏感,所以很多东西都不能说的太详细,希望大家理解下,下次有时间给大家分享下如何本地宏免杀、远程宏加载免杀的知识点吧。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/138963.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

做一个Springboot文章分类模块

做一个Springboot文章分类模块

目录 文章分类 1、新增文章分类 前言 代码编写 测试 2、 文章分类列表 前言 代码编写 测试 3、获取文章列表详情 前言 代码实现 测试 4、更新文章分类 前言 代码实现 测试 5、删除文章分类 前言 代码实现 测试 分页查询 文章列表条件分页 前言 代码编…
阅读更多...
USB拦截工具

USB拦截工具

USB 闪存驱动器对组织的安全和数据构成了独特的威胁。它们的便携性和充足的存储容量使它们成为数据盗窃的便捷媒介。 什么是 USB 拦截器 USB(通用串行总线)阻止程序用于禁用插入可移动存储设备的端口,便携性和充足的存储容量使 USB 成为可能…
阅读更多...
深度学习 机器视觉 人脸识别系统 - opencv python 计算机竞赛

深度学习 机器视觉 人脸识别系统 - opencv python 计算机竞赛

文章目录 0 前言1 机器学习-人脸识别过程人脸检测人脸对其人脸特征向量化人脸识别 2 深度学习-人脸识别过程人脸检测人脸识别Metric Larning 3 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 深度学习 机器视觉 人脸识别系统 该项目…
阅读更多...
C++学习第三十七天----第十章--对象和类

C++学习第三十七天----第十章--对象和类

10.2.2 C中的类 类是一种将抽象转换未用户定义类型的C工具,它将数据表示和操作数据的方法合成一个整洁的包。 接口:一个共享框架,供两个系统交互时使用。 1.访问控制 使用类对象的程序可以直接访问类的公有部分,但只能通过公有…
阅读更多...
考研的风吹到你了吗?中国人民大学与加拿大女王大学金融硕士为你提供另一读研途径

考研的风吹到你了吗?中国人民大学与加拿大女王大学金融硕士为你提供另一读研途径

24考研的风吹到你了吗?随着社会的不断发展,越来越多的人选择继续深造,通过考研来提升自己的学历和能力。然而,考研并不是一件容易的事情,需要付出大量的时间和精力。面对国内竞争激烈的考研环境,许多人会选…
阅读更多...
OpenHarmony worker详解

OpenHarmony worker详解

一,定义 worker是与主线程并行的独立线程。创建Worker的线程被称为宿主线程,Worker工作的线程被称为Worker线程。创建Worker时传入的脚本文件在Worker线程中执行,通常在Worker线程中处理耗时的操作,需要注意的是,Work…
阅读更多...
Jenkins的介绍与相关配置

Jenkins的介绍与相关配置

Jenkins的介绍与配置 一.CI/CD介绍 1.CI/CD概念 ①CI 中文意思是持续集成 (Continuous Integration, CI) 是一种软件开发流程,核心思想是在代码库中的每个提交都通过自动化的构建和测试流程进行验证。这种方法可以帮助团队更加频繁地交付软件&#x…
阅读更多...
TikTok影响力经济:解锁社交媒体的商业机遇

TikTok影响力经济:解锁社交媒体的商业机遇

社交媒体平台的崛起改变了我们与世界互动的方式,而TikTok作为其中的一员,已经成为全球范围内的现象。这个短视频应用不仅让用户在几秒钟内分享创意和娱乐,还为企业和创作者提供了巨大的商业机会。本文将深入探讨TikTok的影响力经济&#xff0…
阅读更多...
OpenCV 实现透视变换

OpenCV 实现透视变换

一:OpenCV透视变换的概念 仿射变换(affine transform)与透视变换(perspective transform)在图像还原、图像局部变化处理方面有重要意义。通常,在2D平面中,仿射变换的应用较多,而在3D平面中,透视变换又有了自己的一席之…
阅读更多...
接口自动化测试操作流程

接口自动化测试操作流程

接口自动化大致步骤: 1、发送请求 2、解析结果 3、验证结果 定义三个和业务相关的类 1、一个用来封装HTTPclient,用来发送请求 2、解析结果xml的类 3、一个用于比较测试结果和期望值的类,用于验证 4、自动生成报告的类:自…
阅读更多...
sqlite expert数据库导入编辑好的表格

sqlite expert数据库导入编辑好的表格

一、前言 此功能不常用,但是又非常重要,每次想要用忘记了方法还得上网搜索,这里自己记录一下,方便以后查看,也帮助大家快速使用 二、环境 window sqlite3 三、正文 步骤一:在数据库创建空表格&#x…
阅读更多...
2023年云计算的发展趋势

2023年云计算的发展趋势

随着互联网和信息技术的快速发展,云计算已经成为了企业和个人的重要工具,而在未来,云计算仍然会持续发展,并且发展趋势会更加迅猛。在本文中,我们将讨论2023年云计算的发展趋势。 一、混合云将成为主流 混合云是指将公…
阅读更多...
《Linux从练气到飞升》No.26 Linux中的线程控制

《Linux从练气到飞升》No.26 Linux中的线程控制

🕺作者: 主页 我的专栏C语言从0到1探秘C数据结构从0到1探秘Linux菜鸟刷题集 😘欢迎关注:👍点赞🙌收藏✍️留言 🏇码字不易,你的👍点赞🙌收藏❤️关注对我真的…
阅读更多...
燃气管网监测系统|全面保障燃气安全

燃气管网监测系统|全面保障燃气安全

根据新华日报的报道,2023年上半年,我国共发生了294起燃气事故,造成了57人死亡和190人受伤,燃气事故的发生原因有很多,其中涉及到燃气泄漏、设备故障等因素。因此,加强燃气安全管理,提高城市的安…
阅读更多...
一文让你了解网络刷卡器的特点和优势

一文让你了解网络刷卡器的特点和优势

网络刷卡器一款高性能的多协议电子标签读写器,保持高识读率的同时实现对电子标签的快速读写处理,广泛应用于物流追踪、个人身份识别、人员管理、智能停车场、门禁考勤、公交一卡通、餐饮、金融等多个领域。 特点和优势: 1)低功耗、…
阅读更多...
python 路径变更后 pip 运行报错

python 路径变更后 pip 运行报错

python 路径变更后 pip 运行报错 Fatal error in launcher: Unable to create process using "d:\python-3.6.6\python .exe" "D:\python-3........出现这种原因是因为生产 Scripts\pip.exe中存在绝对路径,因此当python变更过路径后所有 Scripts目…
阅读更多...
新型的铁塔基站“能源管家”

新型的铁塔基站“能源管家”

安科瑞 崔丽洁 引言:随着5G基站的迅猛发展,基站的能耗问题也越来越突出,高效可靠的基站配电系统方案,是提高基站能耗使用效率,实现基站节能降耗的重要保证,通过多回路仪表监测每个配电回路的用电负载情况&a…
阅读更多...
微信小程序广告banner、滚动屏怎么做?

微信小程序广告banner、滚动屏怎么做?

使用滑块视图容器swiper和swiper-item可以制作滚动屏&#xff0c;代码如下&#xff1a; wxml: <swiper indicator-dots indicator-color"rgba(255,255,255,0.5)" indicator-active-color"white" autoplay interval"3000"><swiper-ite…
阅读更多...
VR全景技术在城市园区发展中有哪些应用与帮助

VR全景技术在城市园区发展中有哪些应用与帮助

引言&#xff1a; 在数字化时代的浪潮中&#xff0c;虚拟现实&#xff08;VR&#xff09;全景技术逐渐融入各个领域&#xff0c;也为城市园区展示带来了全新的可能性。 一&#xff0e;VR全景技术简介 虚拟现实全景技术是一种通过全景图像和视频模拟真实环境的技术。通过相关设…
阅读更多...
一篇文章搞明白js运行机制——事件循环

一篇文章搞明白js运行机制——事件循环

1、解释 JavaScript 的执行机制。 JavaScript 的执行机制基于事件循环。事件循环包括一个任务队列&#xff08;Task Queue&#xff09;和一个微任务队列&#xff08;Microtask Queue&#xff09;。当一个函数被调用时&#xff0c;它被添加到微任务队列中。事件循环每次迭代都会…
阅读更多...
最新文章

Copyright @ 2022~2023