스팸스나이퍼에서 공공기관을 사칭한 피싱 메일이 수신되면 탐지합니다.

쿼리

보낸 메일 주소의 도메인이 공공기관에서만 사용 가능한 .go.kr 로 끝나지만, 메일을 발신한 SMTP 서버가 국내 IP 주소가 아닌 경우에 탐지합니다.

| search mail_from == "*.go.kr" and src_country != "KR"

메시지

• 공공기관 메일 사칭: $mail_from ($src_country)

출력 필드 순서

• _log_time, src_ip, src_country, mail_from, mail_to, mail_subject, mail_size, mail_attachments, signature, mail_type, action

위협 분석

• SMTP 프로토콜은 보안이 취약하기 때문에 From: 헤더에 임의의 이메일 주소를 설정하여 발송할 수 있습니다. 즉, 공격자는 From: admin@example.go.kr 과 같이 수신자가 일반적으로 신뢰하는 도메인으로 발신 주소를 위조하여 피싱 공격을 시도할 수 있습니다.
• 일반적으로는 SMTP의 이러한 취약성을 보완하기 위하여 DNS SPF(Sender Policy Framework)를 이용하여 특정 도메인에 대해 메일을 발송할 수 있는 메일 서버 IP 주소를 명시하지만, 공격자는 보안 구성이 되지 않은 도메인을 이용하여 피싱을 시도할 수 있습니다.

오탐 유형

• 발신 공공기관이 메일 서버를 해외에 구성한다면 오탐이 발생할 수 있습니다. 이 경우에는 예외 조건을 추가하여 오탐을 방지합니다.

대응 방안

• 사용자에게 피싱 메일을 열지 말고 삭제하도록 안내합니다.
• 피싱 메일에 삽입된 링크나 첨부파일이 어떤 기능을 하는지 분석한 후, 관련된 IP 주소, 도메인, URL 침해지표를 방화벽이나 보안 웹 게이트웨이에 등록하여 차단합니다.
• 피싱에 이용된 도메인을 운영하는 공공기관에 연락하여 메일 서버 보안 구성을 강화하도록 요청합니다.

MITRE ATT&CK

• 전술
  • Initial Access
• 기법
  • 이름: Phishing
  • ID: T1566
  • 참조 URL: https://attack.mitre.org/techniques/T1566/