스팸스나이퍼

구독
다운로드 53
업데이트 2025. 3. 3.

바로가기 첨부 메일 수신

스팸스나이퍼에서 바로가기(.lnk) 파일이 첨부된 메일이 수신되면 탐지합니다.

쿼리

첨부 파일의 확장자가 .lnk 로 끝나는 경우, 윈도우 바로가기 파일이 첨부된 것으로 탐지합니다.

| eval lnk_files = trim(strjoin("\n", foreach( if(lower(_1) == "*.lnk", _1, ""), split(mail_attachments, "\n"))))
| eval lnk_file = valueof(split(lnk_files, "\n"), 0)
| search len(lnk_file) > 0

메시지

  • 바로가기 첨부 메일 수신: $mail_to ($lnk_file)

출력 필드 순서

  • _log_time, src_ip, src_country, mail_from, mail_to, mail_subject, lnk_file, mail_size, mail_attachments, function, signature, mail_type, action

위협 분석

  • 북한의 Konni APT 그룹은 이메일에 Windows 바로가기 파일(.lnk)을 첨부하는 스피어피싱 공격을 자주 사용합니다. 통상 바로가기 파일은 프로그램 실행 파일이나 문서를 가리키지만, 바로가기 파일에 인코딩된 파워쉘 명령어를 삽입하여 악성 행위를 수행할 수 있습니다.
  • Konni 그룹은 압축 파일 내에 바로가기 파일을 포함하는 방식을 주로 이용하고 있고, 최근의 메일 클라이언트는 바로가기 파일 다운로드를 차단하는 경향이 있으나, 메일이 바로가기를 직접 첨부하는 경우를 완전히 배제할 수 없습니다.

오탐 유형

  • IT 관리자나 기술지원 부서에서 사용자 작업을 쉽게 수행할 수 있도록 바로가기를 배포하는 시나리오가 아주 없는 것은 아니지만 일반적으로는 문서로 안내하거나, GPO, SCCM 등 배포 도구를 사용합니다.
  • 바로가기 파일을 이메일로 전달하는 사용 예가 매우 제한적이기 때문에 오탐 가능성이 거의 없습니다.

대응 방안

  • 사용자가 첨부된 바로가기 파일을 열지 못하도록 즉시 연락하여 조치합니다.
  • 만약 바로가기가 이미 실행되었다면 바로가기 파일 실행 이후 C2 서버 접속과 추가적인 파일 다운로드 여부를 확인한 후 제거하고, 바로가기 파일에 대한 해시 값과 C2 서버 IP 주소, URL 등 침해지표를 보안 장비에 등록하여 사고 재발을 방지합니다.
  • 로그프레소에서 동일한 발신 이메일 주소, C2 IP 주소 등 침해지표를 검색하여 감염된 다른 호스트가 없는지 한 번 더 검증합니다.
  • 메일 발송 위치에 따라 아래와 같이 대응합니다:
    • 메일이 내부에서 발송되었다면 메일을 발송한 호스트를 추가적으로 조사합니다.
    • 메일이 외부에서 발송되었고, 발신자를 신뢰할 수 없는 경우 발신 이메일 주소를 차단 조치합니다.

MITRE ATT&CK