-
[스피어피싱] 5강 스피어피싱 이메일 분석 실습보안/스피어피싱 2024. 8. 31. 14:25
1. 실습
분석할 이메일 파일 
email-1.msg 파일 스피어피싱 메일 분석을 위해 msg 파일로된 이메일을 열게될시 바이너리 구조로 되어 있어 분석이 어렵다.
이를 가시성 좋게 바꿔주기 위해 툴을 사용하여 변환한다.
msg2eml 툴 사용 
msg 파일이 eml로 변환된 내용 
일반 텍스트 형식으로 출력되는 내역 msg2eml 툴을 이용하여 분석할 msg 파일을 eml 형식으로 변환하였다.
sysTools EML Viewer 툴 사용 sysTools EML Viewer 툴을 사용하여 eml 파일을 메일 형식으로 볼 수 있도록 한다.
sysTools EML Viewer 실행 화면 eml 파일이 지정된 경로로 이동할 시 확인 가능한 eml 파일을 우리가 메일 클라이언트에서 볼 수 있는 UI로 보여준다.
sysTools EML Viewer를 이용해 확인 한 Message Header를 분석하기 위해 툴을 사용한다.
MHA 툴 실행 
상기 URL 접속 후 분석 시작 
MHA 분석 결과 
MHA 분석 결과 의심스러운 이메일 식별 방법은 3가지로 분류된다.
해당 기준에 맞춰 분석하였을 경우 결과는 아래와 같다.
- 메일함에서 디스플레이 되는 이름과 Message Header에 있는 "From"의 정보는 다른가?
- 분석 결과에서 확인 가능하듯이 Display Name과 실제 이메일 주소는 동일한 것으로 확인
- Message Header "From"값과 Message Envelope "Return-Path"값은 다른가?
- 분석 결과에서 확인 가능 하듯이 모두 <'noreply.taxreg@notification-hmrc-gov.uk'>로 동일한 것으로 확인
- 발송된 메일 서버의 위치와 도메인 정보에 표시된 국가 정보가 일치한가?
- 발송된 메일 서버의 위치는 칠레로 확인되지만 도메인에 표시된 국가 정보는 영국으로 확인
이상징후 확인 이를 통해 확인 할 수 있는 것은 Envelope의 'From', Header의 'From' 모두 변조(스푸핑)이 가능하며 해당 부분은 송신자를 나타내기에 조작된다 해도 메일이 실제 수신자에게 전달되는데는 문제가 없다는 사실이다.
결과 : 이상징후 존재
'보안 > 스피어피싱' 카테고리의 다른 글
[스피어피싱] 7강 쉘코드 개요 및 구성요소 (0) 2024.08.31 [스피어피싱] 6강 악성 문서파일의 구성요소 (0) 2024.08.31 [스피어피싱] 4강 스피어피싱 이메일 분석 (0) 2024.08.31 [스피어피싱] 3강 파일리스 공격(LoL 바이너리) (0) 2024.08.30 [스피어피싱] 2강 파일리스 공격 개요 (0) 2024.08.30 - 메일함에서 디스플레이 되는 이름과 Message Header에 있는 "From"의 정보는 다른가?