知识点：

1、应急响应-钓鱼邮件-定性&排查
2、应急响应-恶意文件-应急&分析

一、演示案例-蓝队技能-钓鱼攻击-邮件&附件&分析&排查

如何分析邮件安全性：

1、看发信人地址

2、看发信内容信息

3、看发信内容附件

4、看邮件原文源码

邮件原文源码：

1、看指纹信息（什么发送工具平台）

2、看发送IP地址（服务器IP或攻击IP）

获取到IP或者域名都可以扔给威胁情报中心去分析

3、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)

4、可能存在个人的ID昵称用户名（利用社工的技术手段进行画像）

附件文件：

沙盒运行，进程分析，定性排查，逆向分析(核心)等
沙箱平台分析：https://s.threatbook.com/
逆向手工分析：https://mp.weixin.qq.com/s/gFbewpQrWNTnsVpDzI1OQw
大量样本分析文章：https://xz.aliyun.com/u/3314

二、真实案例-钓鱼邮件关联出定性木马事件-EML分析还原与文件定性

1、钓鱼邮件定性（威胁情报分析、人工分析）

2、定性攻击目的(发信人、内容、附件三方面分析)

可以把exe上传到云沙箱进行分析，也可以手工分析辅助验证。







从目前沙箱平台和人工分析可以看出这个exe做了启动项和C2上线，但是还做了其他什么就不知道了，如果想要更深入了解就需要对这个exe进行逆向源码分析。
可以参考别人逆向这个exe的文章：https://mp.weixin.qq.com/s/gFbewpQrWNTnsVpDzI1OQw

三、真实案例-HW真实样本

往往很多时候都是只给一个eml文件，让你去分析。



如果发件人信息没什么收获，可以看看邮件内是否包含内容附件等。