Guides phishing incident response: analyzes reported emails and headers, extracts IOCs from URLs/attachments via sandboxing, assesses credential compromise, isolates malicious emails organization-wide, and remediates accounts.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
- 用户通过钓鱼举报按钮或滥用邮箱举报收到可疑邮件
Investigates phishing email incidents from user reports via header analysis, URL/attachment detonation in sandboxes, affected user identification in Splunk, and containment with Microsoft Defender. For SOC phishing response.
Guides phishing incident response: analyzes reported emails and headers, extracts indicators, assesses credential compromise, quarantines organization-wide, remediates accounts. For phishing reports, email incidents, spear phishing.
Guides phishing incident response: analyzes email headers, sandboxes URLs/attachments, quarantines messages, assesses credential compromise, and remediates accounts.
Share bugs, ideas, or general feedback.
不适用于涉及内部账号受攻陷的商业邮件欺诈(BEC);此类情况请使用专注于账号接管调查的 BEC 响应流程。
评估举报的邮件以确定其是否为恶意邮件:
邮件头分析清单:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Return-Path: billing@spoofed-domain[.]com
From: "IT Support" <support@corp-lookalike[.]com>
Reply-To: attacker@gmail[.]com(与 From 不同)
SPF: FAIL(发件人 IP 未被授权用于该域名)
DKIM: FAIL(签名无效)
DMARC: FAIL(策略:none - 无执行)
Received: from mail.attacker-infra[.]net [45.33.x.x]
X-Originating-IP: 45.33.x.x
Message-ID: <random@attacker-infra.net>
分类标准:
在安全环境中检查 URL 和附件:
URL 分析:
附件分析:
识别所有收件人并评估谁与钓鱼邮件发生了交互:
范围评估:
━━━━━━━━━━
总收件人: 47 名用户
投递到收件箱: 38 名用户(9 名被邮件网关拦截)
已打开邮件: 24 名用户(邮件追踪像素数据)
已点击链接: 8 名用户(代理/防火墙日志)
已输入凭据: 3 名用户(钓鱼页面已提交表单数据)
已打开附件: 2 名用户(EDR 进程执行遥测)
搜索方法:
根据影响评估执行遏制措施:
邮件遏制:
账号遏制(针对输入过凭据的用户):
# Microsoft 365:撤销会话并重置密码
Connect-AzureAD
Revoke-AzureADUserAllRefreshToken -ObjectId "user@corp.com"
Set-AzureADUserPassword -ObjectId "user@corp.com" -ForceChangePasswordNextLogin $true
# 检查邮箱转发规则
Get-InboxRule -Mailbox "user@corp.com" | Where-Object {$_.ForwardTo -or $_.RedirectTo}
# 移除可疑转发规则
Remove-InboxRule -Mailbox "user@corp.com" -Identity "Rule Name"
清除钓鱼攻击的所有痕迹:
加强针对类似钓鱼攻击的防御:
| 术语 | 定义 |
|---|---|
| 鱼叉式网络钓鱼(Spear Phishing) | 使用个性化内容针对特定个人或组织精心制作的定向钓鱼攻击 |
| 凭据收割(Credential Harvesting) | 通过模仿合法登录页面捕获用户名和密码的钓鱼技术 |
| SPF(Sender Policy Framework,发件人策略框架) | 指定哪些邮件服务器被授权为某域名发送邮件的电子邮件认证协议 |
| DKIM(DomainKeys Identified Mail,域名密钥识别邮件) | 使用加密签名验证邮件在传输过程中未被篡改的电子邮件认证方法 |
| DMARC | 使用 SPF 和 DKIM 确定邮件真实性并指示接收方如何处理失败情况的策略框架 |
| OAuth 同意钓鱼(OAuth Consent Phishing) | 诱骗用户授予恶意 OAuth 应用程序访问其邮件和数据权限的攻击 |
| 邮件头(Email Header) | 每封邮件中嵌入的元数据,包含用于取证分析的路由、认证和发件人信息 |
背景:用户举报一封声称来自 IT 部门的邮件,要求重新注册 MFA。邮件包含一个二维码,链接到托管在受攻陷 WordPress 网站上的逼真 Microsoft 365 登录页面克隆。
处理方法:
常见陷阱:
网络钓鱼事件响应报告
===================================
事件: INC-2025-1602
举报日期: 2025-11-16T09:15:00Z
举报人: jdoe@corp.example.com
分类: 凭据钓鱼(AiTM)
邮件分析
主题: "需要操作:MFA 重新注册"
发件人: it-support@corp-security[.]com(伪造)
SPF: FAIL | DKIM:FAIL | DMARC:FAIL
钓鱼 URL: hxxps://compromised-site[.]com/ms365/login
钓鱼类型: Microsoft 365 AiTM 凭据收割器
影响评估
收件人: 47 人
点击链接: 8 人
输入凭据: 3 人(通过代理 POST 数据确认)
遏制措施
[x] 邮件已从全部 47 个邮箱清除
[x] 钓鱼域名已在 Web 代理处阻断
[x] 发件人域名已在邮件网关处阻断
[x] 3 个受攻陷账号:密码已重置,会话已撤销
[x] 邮箱转发规则已检查(已移除 1 条恶意规则)
[x] OAuth 应用程序授权已检查(未发现未授权授权)
提取的 IOC
域名: corp-security[.]com
URL: hxxps://compromised-site[.]com/ms365/login
IP: 104.21.x.x(Cloudflare 托管)
发件人: it-support@corp-security[.]com
建议
1. 为企业域名实施 DMARC 执行(p=reject)
2. 在邮件网关部署二维码扫描
3. 向全部 47 名收件人发送有针对性的意识通知
4. 通过注册商滥用联系方式申请域名下线