해킹 메일의 유형 및 탐지 방법

출처: 보안관제학

해킹 메일의 유형 및 탐지 방법

 

 

 

1. 최신 이슈를 가장한 스팸성 메일 제목 및 내용

-> 메일 제목은 사용자들을 현혹하는 문구가 포함

-> 내용에는 메일 수신자들로 하여금 메일에 포함된 링크를 클릭하도록 유도

 

 

2. 해킹 경유지에 설치된 악성코드

-> 메일에 포함된 악성 문서를 실행시킬 경우 해킹 경유지에 설치된 악성 코드가 원격에서 실행되어 중요 자료 및 정보가 유출

 

3. 상용 웹 메일을 이용한 해킹 메일 발송

-> 구굴, 다음, 네이버 등의 사용 웹 메일 서버를 이용하여 절취 및 정보 유출이 가능한 해킹 메일을 발송하는 경우로 해킹 이메일을 발송하는 특정 IP를 대상으로 집중적으로 감시해야함

 

4. 해킹 메일의 첨부 파일 실행 후 추가 해킹 프로그램 다운로드

-> 메일에 포함된 악성 문서를 실행시킬 경우 추가적으로 해킹 프로그램을 다운로드 하게 함

 

5. 감염 후 해커에게 감염 신호 송출

-> 파일을 열람하게 되어 감염되게 되면, 감염 신호를 송충하게 된다. 이때, POST /<년월일>/<시분초>/<랜덤숫자>.jsp 및 해커 경유지에서 응답 패킷을 전송하게 되며 또한 감염 PC에서 컴퓨터 이름 등 PC정보를 전송

 

 

탐지 할 부분

 

1. 감염 신호 전송

 

2. 악성 코드 다운로드

 

3. 내부 자료 유출

 

4. 메일 내 첨부 파일 선 확인