【玄机应急】第七章 常见攻击事件分析–钓鱼邮件

一、附件下载

下载好流量数据包附件

image-20240614180033847

二、步骤一:请分析获取黑客发送钓鱼邮件时使用的IP

image-20240614180108297

先整体浏览下附件内容,有www的网站源文件和log的日志目录

image-20240614180851874

这里有钓鱼的邮件,直接记事本打开。看最后一个Received内部的from的地址

image-20240614183540152

前面的Received内部的from地址大都是其他邮件服务器的代理转发地址

三、步骤二:获取黑客钓鱼邮件中使用的木马程序的控制端IP

image-20240614183859537

1、过沙箱

image-20240614202342907

四、步骤三:请分析获取webshell的文件名

image-20240614202532251

1、D盾扫一下

image-20240614203046008

五、步骤四:隧道程序的文件名

image-20240614203257208

观察其他路径的文件

image-20240614204406110

疑似mysql 的配置文件my.conf怎么会出现在这里。过沙箱

image-20240614204704963