스팸스나이퍼

구독
다운로드 53
업데이트 2025. 3. 3.

다중 메일 주소 기반 스팸 전송

스팸스나이퍼에서 다수의 발신 이메일 주소를 사용한 동일 제목의 메일 수신을 탐지합니다.

쿼리

1시간 간격으로 최근 1시간 동안 3개 이상의 메일 주소를 사용하여 동일 제목으로 수신된 메일이 있는지 분석합니다. 오탐에 대한 예외 처리를 위해 마지막 단계에서 “SpamSniper 다중 메일 주소 기반 스팸 전송 예외” 패턴 그룹으로 필터링합니다.

table duration=1h *:MAIL_SPAMSNIPER 
| search _schema == "spamsniper-rcvd-mail"
| join mail_subject [ 
    table duration=1h *:MAIL_SPAMSNIPER 
    | search _schema == "spamsniper-rcvd-mail"
    | stats count, dc(mail_from) as sender_count by mail_subject
    | search sender_count >= 3 
    | matchsig guid="a6cc38e1-e260-4f84-a9e5-2ffa9959b081" field="mail_subject" invert=t 
    | fields mail_subject, sender_count
    ]

메시지

  • 다중 메일 주소 기반 스팸 전송: $mail_subject

출력 필드 순서

  • _log_time, src_ip, src_country, mail_from, mail_to, mail_subject, mail_size, mail_attachments, signature, mail_type, action

위협 분석

  • 공격자는 스팸 필터의 차단을 우회하기 위해 다수의 이메일 주소나 출발지 IP 주소를 활용하여 스팸 메일을 분산 발송할 수 있습니다. 눈 신발처럼 넓은 면으로 악성 평판을 분산하기 때문에 Snowshoe Spamming 기법으로 불립니다.

오탐 유형

  • 정상적인 메일링리스트에서도 다수의 이메일 주소로 동일 제목의 메일이 발송될 가능성이 있습니다. 이 경우에는 “SpamSniper 다중 메일 주소 기반 스팸 전송 예외” 패턴 그룹에 허용할 메일 제목을 키워드로 삽입하여 탐지되지 않도록 조치합니다.

대응 방안

  • 이메일 주소를 계속 변경하여 차단을 회피하므로, 스팸스나이퍼 탐지 정책에 메일 제목과 내용에 대한 필터링 조건을 추가하여 더 이상 스팸이 유입되지 않도록 차단합니다.

MITRE ATT&CK