스팸스나이퍼

구독
다운로드 53
업데이트 2025. 3. 3.

악성코드 첨부 메일 수신

스팸스나이퍼에서 악성코드를 첨부한 메일이 수신되면 탐지합니다.

쿼리

스팸스나이퍼 메일 수신 로그에 공격명이 존재하면 탐지합니다. signature 필드에는 안티바이러스 엔진이 탐지한 악성코드 이름이 기록됩니다.

| search isnotnull(signature)

메시지

  • 악성코드 첨부 메일 수신: $mail_to ($signature)

출력 필드 순서

  • _log_time, src_ip, src_country, mail_from, mail_to, mail_subject, mail_size, mail_attachments, signature, mail_type, action

위협 분석

  • 공격자는 메일에 악성코드를 첨부하여 전송하고 사용자가 첨부된 파일을 실행하도록 유도할 수 있습니다. 특히 한컴오피스(hwp, hwpx), 워드(docx), 엑셀(xlsx) 문서 파일에 파워쉘 명령어를 실행하는 악성 매크로를 삽입한 공격이 자주 발생하고 있습니다. 사용자는 업무 상 문서 파일을 자주 주고 받기 때문에 피싱 여부를 구분하기 쉽지 않습니다.

오탐 유형

  • 안티바이러스 엔진이 정상 파일을 악성 코드로 오진할 가능성이 있습니다. 오탐이 반복될 가능성이 있는 실행 파일의 경우 안티바이러스 예외 정책에 등록합니다.

대응 방안

  • 사용자에게 피싱 메일을 열지 말고 삭제하도록 안내합니다.
  • 피싱 메일에 삽입된 첨부파일이 어떤 기능을 하는지 분석한 후, 관련된 IP 주소, 도메인, URL 침해지표를 방화벽이나 보안 웹 게이트웨이에 등록하여 차단합니다.

MITRE ATT&CK