[악성메일분석] 메일 분석부터 악성코드 분석까지
·
카테고리 없음
회사에서 악성프로그램을 포함한 메일이 유입이 되어 분석을 하였다. 결론 : HSBC 은행 위장 악성프로그램 배포 목적의 이메일 분석도구 이메일헤더분석 : https://mxtoolbox.com/ 동적분석 : IDA pro, ghydra, PEView, HxD 정적분석 : SysAnalyzer, x64dbg 1. 메일분석 결론부터 말하자면 해당 건은 inmotion 업체의 호스팅 서비스를 받아서 HSBC 발송자로 위장하여 악성프로그램이 포함된 이메일을 발송한 것으로 확인되었다. 이메일 헤더를 분석하여 발송지의 도메인이 다른것을 확인하였다. (ded5695.inmotionhosting.com)이며 해당 주소를 들어가게되면 도메인 포워딩이 된다(hovskycopr.com) 포워딩된 사이트의 디렉토리 경로 검색..
[정보보안] 악성 메일 분석(발신자 주소 변경)
·
카테고리 없음
0. 사건개요 거래처 인보이스 메일 계좌정보가 변경되어 회신을 요구하는 발신자 위장 악성메일 발송 이에대하여 메일 분석 실시 분석 요약 : 메일 헤더 수집 > 발신지 확인 > 위장 회신 주소 확인 1. 이메일 헤더 수집(아웃룩) - 파일 > 정보 > 속성 > 인터넷 머릿글 복사 2. 이메일 헤더사이트 접속 및 붙여넣기( https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx) Email Header Analyzer, RFC822 Parser - MxToolbox mxtoolbox.com 3. 분석 결과 확인(발송지가 원래 보내는 사람의 도메인인지 확인한다) 사내망 메일 서버를 이용한다변 발송 지가 사내망으로 부터 발송된 메일인지 확인한다. 4. 분석 결과 확인(실제..