본문 바로가기
교육 및 자격증/KISA : 스피어피싱 기본

스피어피싱 이메일 분석

forgetissimo 2023. 10. 24. 01:52
728x90

스피어피싱

 : 특정한 대상을 노린 피싱 공격 기법으로 링크나 악성 파일을 첨부한다.(HWP, DOC, PDF, RTF..)

마이터어택 프레임워크에서 분류한 스피어피싱

 

악성 문서 파일의 일반적 구성 요소

Exploit : 문서 파일을 처리하는 sw의 임의 코드를 실행하여 비정상 동작을 유발하게 하는 공격
Shellcode(Payload) : 취약한 sw의 메모리에서 임의로 실행되는 코드.
exploit을 통해 취약한 상태를 만들고 shellcode를 실행하여 악성행위를 수행 ex) x31/x43/x76...
script/MACRO : 악성 문서에 의해 자동으로 실행되는 VB스크립트, 자바 스크립트 들
executable file : 일반적으로 악성 문서파일 내에 암호화된 형태로 내장

 

eml viewer

MHA(Mail Header Analyzer) - 메일 헤더를 UI로 분석해준다.

 

의심스러운 이메일 식별 방법

  • MHA에서 분석한 From의 정보가 다른지 확인["alias로 지정한 메일 주소가 나타남" != <실제 주소>]
  • Message Header "From" 값과 Message Envelope "Return=Path"값과 다른가?
  • 발송된 메일서버의 위치와 도메인 정보에 표시된 국가 정보가 일치한가?[whois에서 hop 개수가 많고 국가가 다른지]

구글 메일 > 원본 메일을 복사 > 다음 url에 붙여 넣으면 분석할 수 있다.

https://toolbox.googleapps.com/apps/messageheader/analyzeheader

 

참고

https://attack.mitre.org/techniques/T1566/001/

 

'교육 및 자격증 > KISA : 스피어피싱 기본' 카테고리의 다른 글

악성 HWP 문서 분석  (0) 2023.10.24
쉘코드 분석  (0) 2023.10.24
표적 공격  (0) 2023.10.23
KISA : 스피어피싱 기본  (0) 2023.10.23

'교육 및 자격증/KISA : 스피어피싱 기본' Related Articles

티스토리툴바