작은 메모장
스피어 피싱 이메일 분석 이론 본문
스피어피싱을 공격자가 사용하기 위해선 다양한 방법으로 악성 메일을 보내려고 함
이를 파악하고 방지하기 위해서는 이메일 환경에 대해 알고 있어야 함
이메일이 전송되는 과정
1. 메일 발신자가 메일의 메시지를 source의 메일 서버(MSA)가 수신
2. 메일 서버들 그룹에서 목적지를 담당하고 있는 메일서버를 탐색 후 전송
3. 목적지 메일 서버에 메시지가 도착
4. 수신자에게 이메일이 전송
메일은 이러한 과정을 거칠 때마다 그에 대한 로그 데이터가 메일에 쌓임
이 로그 데이터는 RFC822를 기초로 삼고 있음
메일은 크게 Message Envelope, Message Content(Header, Body)로 구성
Message Envelope은 전송자와 수신자의 메일 주소를 담고 있음
마찬가지로 Header는 전송자와 수신자의 메일 주소를 담고 있음
해커는 이 Message Envelope의 Header의 메일 주소를 다르게 하여 공격함
수신자는 이렇게 변조된 메일 주소를 보고 올바르게 수신되었다고 착각
이를 스푸핑이라고 부름
때문에 이 두 부분의 수신자/송신자 메일 주소가 다르다면, 스피어 피싱 메일이라고 볼 수 있는 중요한 특징
Envelope Form vs Header Form
Envelope Form | Header Form |
RFC5321.MailFrom | RFC5322.From |
메일 서버가 NDR을 생성하는데 사용 | 이메일 클라이언트(EUA)가 디스플레이 할 때 사용 |
SPF를 이용하여 스푸핑으로부터 보호 | DMARC를 이용하여 스푸핑으로부터 보호 |
스푸핑을 방지하기 위해, 각 메일 form은 고유한 보호 기술을 가지고 있음
SPF를 통과했다면, Envelope Form은 신뢰 가능
DMARC를 통과했다면, Header Form은 신뢰 가능
'KISA 사이버 보안 훈련 > 스피어피싱 대응 기본' 카테고리의 다른 글
악성 문서 파일의 구성 요소 (0) | 2023.05.21 |
---|---|
스피어 피싱 이메일 분석 실습 (0) | 2023.05.21 |
파일리스(Fileless) 공격 LoL 바이너리 (0) | 2023.05.17 |
파일리스(Fileless) 공격 개요 (0) | 2023.05.17 |
MITRE ATT&CK 프레임 워크 활용 (0) | 2023.05.17 |