1. 이메일 분석의 기준
- 메일함에서 보이는 이름과 Message Header에 있는 From의 정보가 다른가
- Message Header의 From과 Message Envelop의 Return-Path가 다른가
- 발송된 메일 서버의 위치와 도메인 정보의 국가 정보가 일치하는가
2. RFC 822 Message
RFC 822 이메일 표준을 살펴보자.
위 그림에서 Envelope 부분은 편지지의 바깥에 적힌 내용이고
Header가 우리가 직접 보게 될 송신자와 수신자에 대한 정보라고 보면 편하다.
공격자는 실제로 Header를 조작해 우리가 신뢰하는 사람에게 메일을 받았다고 착각하게 만드는데
이러한 행위를 스푸핑이라고 한다.
이 두가지 정보가 의심스러운 메일을 찾는 첫단추가 될 수 있다.
정리해보면 다음과 같다.
| Envelope From | Header From |
| RFC5321.MailFrom | RFC5322.From |
| 메일서버가 NDR을 생성할 때 사용 | 이메일 클라이언트가 보일 때 사용 |
| SPF를 이용해 스푸핑으로부터 보호 | DMARC를 이용해 스푸핑으로부터 보호 |
SPF와 DMARC
SPF (Sender Policy Framework)
- 발신자의 도메인에서 메일을 발신할 수 있는 권한이 있는지 확인
- 초기 SMTP 연결 인증에서 사용
DMARC (Domain-ased Message Authentication Reporting and Conformance)
- 이메일 인증 프로토콜
- 이메일 도메인 소유자가 스푸핑으로부터 도메인을 보호할 수 있도록 설계됨
공격자는 Envelop From과 Header From 모두 임의로 조작이 가능하다.
서로 일치하지 않는 경우는 발송자 정보가 위조되었음을 나타내고
SPF를 패스한 경우 Envelope From을, DMARC를 패스한 경우 Header From 정보를 신뢰할 수 있다.
3. RealWorld Analysis
다음은 eml파일을 notepad++로 열람한 사진이다.
eml 파일을 열었을 때 spf와 dmarc 모두 pass가 되었다는 것을 알 수 있다.
다음은 msg 확장자를 사용한 이메일 파일을 열었을 때의 모습이다.
msg파일은 기본적으로 바이너리 구조기 때문에 Plain Text로 열기 위해서는
eml 파일로 변환해주어야 한다.
msg를 eml로 바꾸는 방법은 구글링을 통하면 쉽게 찾을 수 있다.
다음과 같이 Plain Text로 잘 바뀐 것을 볼 수 있다.
이번엔 이메일을 분석하는 간편한 도구를 알아보자.
4. Useful Tool
의심되는 이메일을 도구들을 이용해 확인해보자.
Systools EML Viewer를 사용하면 간편하게 이메일을 확인할 수 있다.
이번엔 Message Header를 MHA(Mail Header Analyzer)로 분석해보자.
MHA는 오픈소스 스크립트로 구글링을 통해 다운받을 수 있다.
MHA에 Message Header를 붙여넣고 분석을 시작하면
위와 같이 분석 결과가 나온다.
From의 ""부분이 우리에게 보이는 부분이고, <>부분이 실제 도메인 주소를 나타낸다.
위 이메일의 경우 Envelope 부분과 디스플레이 되는 부분의 From 정보가 같으므로
분석 기준의 1번은 무사히 통과했다.
다음으로 Envelope의 From과 Return-Path가 일치하는지 확인해보자.
두 정보가 잘 일치하는 것을 볼 수 있다.
Return-Path를 읽는 법
예시)
<noreply.taxreg-derek=oneknight.co.uk@notification-hmrc-gov.uk>
를 읽을 때는 -를 기준으로
noreply.taxreg@notification-hmrc-gov.uk 와
derek@onknight.co.uk로 나눠서 읽을 수 있다.
마지막으로 국가정보의 일치여부를 확인하자.
앞선 메일은 uk로 영국 도메인을 이용함을 알 수 있다.
위 부분은 이메일이 어느 곳을 거쳤는지 알려준다.
자세히 보니 2번째 Hop에서 칠레를 거친 것을 알 수 있다.
도메인은 영국이지만 IP의 소속국가가 칠레라고 나타난다.
여기서 영국 정부기관의 도메인이 칠레 서버를 거친다는 것이 의심스럽다.
공격자가 칠레 서버를 구축해 피해자에게 메일을 보냈을 수 있기 때문이다.
정리하자면 스피어피싱 메일은 컨텐츠로는 식별하기 매우 어렵다.
따라서 의심 징후 3가지를 통해 식별해야 하며
이때 공격자는 Envelope의 From과 Display의 From 모두를 조작할 수 있기 때문에
도메인의 소속 국가까지 잘 분석해야한다.
'정보보안 > Spear-Phishing' 카테고리의 다른 글
| [Spear-Phishing] Malicious HWP Document Analysis (0) | 2023.08.27 |
|---|---|
| [Spear-Phishing] ShellCode Analysis (API Hash Pattern Matching) (0) | 2023.08.27 |
| [Spear-Phishing] Malicious Document의 구성요소 (0) | 2023.08.27 |
| [Spear-Phishing] Fileless Attack (0) | 2023.08.27 |
| [Spear-Phishing] MITRE ATT&CK Matrix (0) | 2023.08.26 |
