MARS SLE

다운로드 7
업데이트 2024. 6. 22.

피싱 이메일 내 악성 URL 첨부

MARS SLE 장비가 이메일 본문의 URL을 악성으로 진단한 경우 탐지합니다.

개요

  • 중요도: 하
  • 유형: 실시간 탐지
  • 로그 스키마: MARS SLE URL 검사 (mars-sle-url-scan)
  • 대상 수집모델
    • MARS SLE

쿼리

MARS SLE URL 검사 로그 중 판정 결과가 MALICIOUS 인 경우 탐지합니다. 다수의 이메일 주소로 동시에 악성 파일을 전송 시도할 수 있으므로 메일 수신자를 개행 기준으로 분리하여 이벤트를 독립적으로 생성합니다.

| search verdict == "MALICIOUS" and isnotnull(signature) 
| eval mail_to = split(mail_to, "\n") 
| explode mail_to

메시지

  • $mail_from이 $mail_to로 악성 URL이 첨부된 피싱 이메일 전송 시도 ($url)

출력 필드 순서

  • _log_time, risk, mail_from, mail_to, mail_subject, url, verdict, signature, action

위협 분석

  • MARS SLE 장비가 악성 이메일은 사용자에게 전달하지 않으므로 사용자는 감염으로부터 안전합니다.
  • 그러나 사용자는 자신의 이메일 주소가 외부 공격에 노출되어 있다는 사실과, 보안 장비가 탐지하지 못하는 다른 피싱 시도가 이어질 수 있다는 점을 인지해야 합니다.

오탐 유형

  • MARS SLE가 메일 본문에 포함된 정상적인 URL을 악성 URL로 오진할 수 있습니다.

대응 방안

  • 보안팀은 악성 URL을 분석하여 리다이렉트된 도메인, URL 등 주요 침해지표를 보안 시스템에 추가해야 합니다.
    • 이어지는 다른 피싱 시도를 탐지하지 못하더라도, 도메인, URL 등 침해지표가 내부 보안 시스템에 반영되어 있으면 동일한 인프라를 재활용하는 공격자를 탐지할 수 있습니다.
  • 사용자에게 악성 URL을 첨부한 피싱 시도가 있었음을 알립니다.
    • 예기치 못한 오탐으로 정상적인 메일이 격리되었을 때 사용자가 알아차리고 대응할 수 있습니다.

MITRE ATT&CK