피싱 이메일 내 악성 URL 첨부
MARS SLE 장비가 이메일 본문의 URL을 악성으로 진단한 경우 탐지합니다.
개요
- 중요도: 하
- 유형: 실시간 탐지
- 로그 스키마: MARS SLE URL 검사 (mars-sle-url-scan)
- 대상 수집모델
- MARS SLE
쿼리
MARS SLE URL 검사 로그 중 판정 결과가 MALICIOUS
인 경우 탐지합니다. 다수의 이메일 주소로 동시에 악성 파일을 전송 시도할 수 있으므로 메일 수신자를 개행 기준으로 분리하여 이벤트를 독립적으로 생성합니다.
| search verdict == "MALICIOUS" and isnotnull(signature)
| eval mail_to = split(mail_to, "\n")
| explode mail_to
메시지
- $mail_from이 $mail_to로 악성 URL이 첨부된 피싱 이메일 전송 시도 ($url)
출력 필드 순서
- _log_time, risk, mail_from, mail_to, mail_subject, url, verdict, signature, action
위협 분석
- MARS SLE 장비가 악성 이메일은 사용자에게 전달하지 않으므로 사용자는 감염으로부터 안전합니다.
- 그러나 사용자는 자신의 이메일 주소가 외부 공격에 노출되어 있다는 사실과, 보안 장비가 탐지하지 못하는 다른 피싱 시도가 이어질 수 있다는 점을 인지해야 합니다.
오탐 유형
- MARS SLE가 메일 본문에 포함된 정상적인 URL을 악성 URL로 오진할 수 있습니다.
대응 방안
- 보안팀은 악성 URL을 분석하여 리다이렉트된 도메인, URL 등 주요 침해지표를 보안 시스템에 추가해야 합니다.
- 이어지는 다른 피싱 시도를 탐지하지 못하더라도, 도메인, URL 등 침해지표가 내부 보안 시스템에 반영되어 있으면 동일한 인프라를 재활용하는 공격자를 탐지할 수 있습니다.
- 사용자에게 악성 URL을 첨부한 피싱 시도가 있었음을 알립니다.
- 예기치 못한 오탐으로 정상적인 메일이 격리되었을 때 사용자가 알아차리고 대응할 수 있습니다.
MITRE ATT&CK
- 전술
- Initial Access
- 기법
- 이름: Phishing: Spearphishing Link
- ID: T1566.002
- 참조 URL: https://attack.mitre.org/techniques/T1566/002/