[절차] 악성(피싱) 메일 분석

악성 메일 및 피싱 메일 분석

 

악성 메일 및 피싱 메일 분석 절차입니다.

---

1. 서론

 1) 목적 : 악성 메일 및 피싱 메일 EML 추출 후 헤더 분석

 2) 절차 : 

  ① 메일 EML 파일 추출

  ② EML 파일 중 헤더 부분 추출

  ③ 헤더 내용으로 출발지/경유지 분석 및 송신자 추적

---

2. 본론

 1) 메일 EML 파일 추출

  ① 웹메일 경우 추가 기능으로 "EML" 형식 파일 다운로드

   - 네이버 기준 추가 기능으로 "EML" 형식 파일 다운로드 기능 존재

네이버 메일 추가 기능

  - "EML" 파일 다운로드 (실습메일로 아프리카TV 개인정보처리방침 개정 메일로 수행)

"EML"파일 형식 다운로드

  ② 아웃룩 등 메일 다운로드 "msg" 파일 형식에서 "EML" 변환

   - 온라인 오픈 서비스를 이용하여 변환 방법

   - 오프라인 설치형 서비스 이용(GitHub) 오픈소스 이용하여 변환 방법

 

 2) EML 메일 파일 중 헤더 부분 추출

  ① 웹메일 경우 추가 기능 중 "메일 헤더 보기 또는 원문 보기" 사용

   - 해당 부분만 확인

네이버 메일 헤더 보기 기능

 ② SysTools 사용으로 메일 헤더 추출

   - SysTools EML Viewer v4.0 사용

SysTools EML Viewer_Header

  3) 추출한 헤더 부분 Email Header Analyzer(EHA) 분석

  ① 온라인 오픈서비스 기능 사용

   - 추출한 헤더 부분 입력

MxToolBox 온라인 오픈 서비스 이용

   - SPF 및 DKIM 인증 확인

SPF 및 DKIM 인증 확인

SPF : 발송 서버(메일 발송 IP 비교로 인증 검토)

DKIM : 메세지 발신자(전자서명으로 인증 검토)

 

   - 메일 송신 <-> 수신 경유지 확인

메일 경유지 확인

보통  최소 2~3개의 경유지가 나오지만 해당 메일은 1개만 존재 (참고)

해당 부분에서는 경유지 IP 검토 (Whois 등)로 국적(지역) 확인, 보통 침해사고 대응으로 메일 분석하는 이유는 송신자가 맞는지 어디서 왔는지 분석하는데 보통 위장 및 피싱 메일은 해외 지역을 경유하여 수신자에게 도착하기 때문에 국내인지 국외인지 확인 필요하다.

 

   - 메일 헤더 본문 확인(송신자)

헤더 본문 분석 양식

헤더 본문 분석 시 송신자 기준으로 중간에 변동 사항이 없는지 검토 및 중간 세션 IP 검토 필요

 송신자 확인 참고 란 : "Return-Path", "X-Original_MAILFROM", "Message-ID", "From"

 중간 세션 IP 참고 란 : "X-Session-IP", "X-Original-SENDERIP", "X-IP"

  ※ 해당 메일 경우 참고 메일로는 부족한 부분이 존재하여 아래 메일로 양식 참고

헤더 분문 분석 참고

 

  ② 오프라인 서비스 기능 사용(보통 UI 및 기능은 온라인과 동일)

---

3. 결론

 1) 메일 분석 경우는 본문이 아닌 헤더 부분으로 진행 및 검토 가능

 2) IP 메일 서버 확인 및 송신자 확인 필수

 3) 메일 송신자 주체가 해외 경우 중간 경유지 메일 서버 IP 하나하나 확인 필요

 4) 실습된 사용된 SysTools EML Viewer 4.0 툴 경우 Freeware 사용 가능