Logo CyberPath
CTFeasy

TryHackMe - The Greenholt Phish

Analyse d'un email de phishing suspect reçu par un employé. Investigation SOC complète.

14 décembre 2025
TryHackMe
TryHackMePhishingEmail AnalysisSOCBlue Team

Contexte

Un commercial de Greenholt PLC a reçu un email inattendu d'un prétendu client. Plusieurs éléments l'ont alerté :

  • Salutation générique ("Good day") inhabituelle
  • Mention d'un transfert d'argent non sollicité
  • Pièce jointe non demandée

L'email a été transféré au SOC pour investigation.

Environnement

  • Fichier : challenge.eml
  • Outil : Thunderbird Mail

Question 1 : Numéro de référence du transfert

What is the Transfer Reference Number listed in the email's Subject?

On ouvre l'email dans Thunderbird et on regarde le Subject.

Réponse : 09674321

Question 2 : Expéditeur de l'email

Who is the email from?

On regarde le champ From.

Réponse : Mr. James Jackson

Question 3 : Adresse email de l'expéditeur

What is his email address?

L'adresse complète apparaît entre < > dans le champ From.

Réponse : info@mutawamarine.com

Question 4 : Adresse de réponse

What email address will receive a reply to this email?

On affiche les headers complets :

View → Headers → All

On cherche le champ Reply-To.

Réponse : info.mutawamarine@mail.com

Question 5 : IP d'origine

What is the Originating IP?

Dans les headers, on cherche X-Originating-IP :

Clic droit → View Source → Chercher "X-Originating-IP"

Headers email
Headers email

Réponse : 192.119.71.157

Question 6 : Propriétaire de l'IP

Who is the owner of the Originating IP? (Do not include the "." in your answer.)

On utilise whois :

whois 192.119.71.157

On cherche le champ OrgName.

Réponse : Hostwinds LLC

Question 7 : Enregistrement SPF

What is the SPF record for the Return-Path domain?

On récupère le domaine du Return-Path, puis :

dig txt mutawamarine.com | grep spf

Réponse : v=spf1 include:spf.protection.outlook.com -all

Question 8 : Enregistrement DMARC

What is the DMARC record for the Return-Path domain?

dig txt _dmarc.mutawamarine.com

Réponse : v=DMARC1; p=quarantine; fo=1

Question 9 : Nom de la pièce jointe

What is the name of the attachment?

La pièce jointe est visible en bas de l'email dans Thunderbird.

Réponse : SWT_#09674321____PDF__.CAB

Question 10 : Hash SHA256

What is the SHA256 hash of the file attachment?

On sauvegarde la pièce jointe, puis :

sha256sum SWT_#09674321____PDF__.CAB

Réponse : 2e91c533615a9bb8929ac4bb76707b2444597ce063d84a4b33525e25074fff3f

Question 11 : Taille du fichier

What is the attachments file size? (Don't forget to add "KB" to your answer, NUM KB)

ls -lh SWT_#09674321____PDF__.CAB

Réponse : 400.26 KB

Question 12 : Extension réelle

What is the actual file extension of the attachment?

On vérifie le vrai type du fichier :

file SWT_#09674321____PDF__.CAB

Analyse fichier
Analyse fichier

Réponse : RAR

Leçons apprises

Red Flags identifiés

  • Salutation générique
  • Reply-To différent du From
  • Pièce jointe non sollicitée
  • Extension de fichier masquée

Commandes utiles

# Vérifier SPF
dig txt domain.com | grep spf

# Vérifier DMARC
dig txt _dmarc.domain.com

# Hash d'un fichier
sha256sum fichier

# Type réel d'un fichier
file fichier

# Whois IP
whois X.X.X.X

Outils utilisés

  • Thunderbird - Visualisation email
  • dig - Requêtes DNS
  • whois - Identification IP
  • sha256sum - Hash
  • file - Type de fichier

Pratiquer sur CyberPath