스피어 피싱 이메일 분석 실습

기본적인 msg형태의 메일

메일의 이동 경로 및 각종 정보를 담고 있음

바이너리 형태가 인코딩

바이너리 데이터로 이루어져 있어 이를 eml 형식으로 변환시켜야함

msg2eml을 이용하여 변환

변환은 되었는데 가독성이 매우 떨어짐

때문에 이를 시각화하여 보여줄 수 있는 툴을 사용

SysTools 툴을 사용하여 변환한 메일을 시각화

현재 보여지는 것은 noreply.taxreg 메일 주소에서 derek 메일 주소로 갔음이 표시 됨

이를 자세하게 검사하기 위해서는 Header Form을 검사할 필요가 있음

메일의 Header Form은 가독성이 매우 떨어짐

이를 시각화 하여 보여줄 수 있는 툴을 또 사용

MHA (Mail Header Analyzer) 툴을 사용하여 시각화

실행하면 로컬 서버의 8080번 포트로 서버가 실행됨

이곳에 원하는 Header 정보를 넣어 시각화

헤더 시각화 성공

 

메시지 헤더 분석

가장 상단의 From과 To는 Message Header의 발신주소와 수신주소를 나타냄

<>로 묶인 주소는 실제 Header의 발신주소

" "로 묶인 주소는 디스플레이 주소(사용자에게 보여지는 주소)

이 둘이 다르다면 무언가 의심스러운 이메일임을 판단 가능

위 사례는 둘이 같음

 

메일의 Envelope from의 경우는 Return-Path 주소를 보면 됨

Envelope form은 하나의 주소에 from과 to가 전부 들어가있음

위 사례는 from이 noreply.taxreg@notification-hmrc-gov.uk, to가 derek@oneknight.co.uk로 되어있음

이때 Envelope from의 주소와 Header from의 주소가 다르다면 무언가 의심스러운 이메일로 판단 가능

위 사례는 둘이 같음

 

메일은 반드시 메일 서버를 거치고, 이 정보는 메일의 Header에 남게 됨

거쳐온 메일 서버를 보고 이를 판단 가능

만약 발신지 도메인의 위치와 메시지 서버의 주소 위치가 서로 다르다면 무언가 의심스러운 이메일로 판단 가능

위 사례의 경우,

발신지의 도메인은 gov.uk로 영국 정부기관

메시지 서버의 주소는 칠레 서버

서로 다르므로, 위 경우는 의심스러운 메일로 판단 가능 => 무언가 공격을 노리고 보낸 메일

 

공격 상황 유추를 하면,

공격자는 메일의 Envelope from 주소와 Header from의 주소를 전부 바꾸어 전송하였으나,

거쳐온 메시지 서버의 주소까지 바꾸지 못했고

이를 분석하였음