반응형
출처: 보안관제학
해킹 메일의 유형 및 탐지 방법
1. 최신 이슈를 가장한 스팸성 메일 제목 및 내용
-> 메일 제목은 사용자들을 현혹하는 문구가 포함
-> 내용에는 메일 수신자들로 하여금 메일에 포함된 링크를 클릭하도록 유도
2. 해킹 경유지에 설치된 악성코드
-> 메일에 포함된 악성 문서를 실행시킬 경우 해킹 경유지에 설치된 악성 코드가 원격에서 실행되어 중요 자료 및 정보가 유출
3. 상용 웹 메일을 이용한 해킹 메일 발송
-> 구굴, 다음, 네이버 등의 사용 웹 메일 서버를 이용하여 절취 및 정보 유출이 가능한 해킹 메일을 발송하는 경우로 해킹 이메일을 발송하는 특정 IP를 대상으로 집중적으로 감시해야함
4. 해킹 메일의 첨부 파일 실행 후 추가 해킹 프로그램 다운로드
-> 메일에 포함된 악성 문서를 실행시킬 경우 추가적으로 해킹 프로그램을 다운로드 하게 함
5. 감염 후 해커에게 감염 신호 송출
-> 파일을 열람하게 되어 감염되게 되면, 감염 신호를 송충하게 된다. 이때, POST /<년월일>/<시분초>/<랜덤숫자>.jsp 및 해커 경유지에서 응답 패킷을 전송하게 되며 또한 감염 PC에서 컴퓨터 이름 등 PC정보를 전송
탐지 할 부분
1. 감염 신호 전송
2. 악성 코드 다운로드
3. 내부 자료 유출
4. 메일 내 첨부 파일 선 확인
반응형
'프로젝트 관련 조사 > APT' 카테고리의 다른 글
[리눅스]침입자 탐지 체크 리스트 10 (0) | 2015.11.24 |
---|---|
DDOS 공격 차단 방법 (0) | 2015.11.24 |
Arcsight SIEM 활용 방안 (0) | 2015.11.24 |
해킹사고 증상과 취약점 (0) | 2015.10.21 |
개인정보 유출사고 분석 (0) | 2015.10.21 |