[악성코드 분석] 이메일 헤더 분석

해커는 원하는 목적을 달성하기 위하여 초기 접근(Initial Access)을 이메일을 통해 수행할 수 있다.

* 피싱 메일을 통한 사용자 계정 탈취, 악성 파일을 첨부하여 실행 유도 등

 

첨부 파일 및 링크를 분석하기 전에 이메일 헤더를 분석하여 악성 메일을 의심할 수 있다.

* 단, 공격자가 이메일 헤더를 조작할 수 있어서 헤더 내 특이사항이 없어도 100% 신뢰하면 안된다.

 

이메일 헤더 분석은 eml 확장자로 진행하는 것이 편리하다.

* msg 확장자를 eml 확장자 변환해주는 도구는 "msg to eml tool" 검색을 통해 찾아볼 수 있다.

 

1. 발신자 정보 식별

- '이메일 표시 이름'과 '실제 메일 주소' 비교

* 아래 사진은 FedEx-Korea를 사칭한 피싱 메일로 발신자 메일 주소는 '**tohem.co.jp'로 확인된다.

* '이메일 표시 이름'에 메일 주소(xxx@aaa.com 양식)를 사용하여 사칭할 수도 있다.

 

2. 메일 회신을 받는 메일(Return-Path 혹은 Reply-To) 주소 확인

- 일반적으로 메일을 회신하면 발신 계정이 수신자가 되기에 발신자(From)와 회신 메일 수신자(Reply-To)가 다르면 의심

* 둘 중 하나를 정상 메일로 바꿔서 사용자의 의심을 피하려는 시도

* 아래 사진은 '**@**osnt.com'에서 온 메일이지만 답장은 '**@**-spa.com'이 받도록 되어 있다.

 

- 또한, 정상 메일은 보통 Reply-To 헤더가 존재하지만 스크립트 등으로 배포되는 피싱 메일은 Reply-To 헤더가 없을 수 있음

 

3. 메일 발송 호스트 및  IP 확인

- Received 헤더를 통해 메일이 어떤 경로를 통해 전송되었는지 확인 가능

* 메일이 발신 도메인(From 헤더 내 도메인)과 상관 없는 IP에서 발송된 경우 악성 메일 가능성 존재

* 아래 사진은 발신자 메일이 dhl.com 도메인이지만 발송 호스트(서버)는 dhl와 연관이 없는 서버로 확인된다.

=> 메일 서버 없이 메일 서비스를 이용하거나 해외에 메일 서버를 두는 경우도 존재하니 참고

 

그 외에도 X-Original-SENDERIP 같은 헤더 정보를 확인하거나 SPF, DKIM 정보를 활용할 수 있다.

 

[메일 헤더 분석에 유용한 도구]

1) https://mxtoolbox.com

2) sysTools EML Viewer

 

[참고 사이트]

1) https://www.igloo.co.kr/security-information/%EC%8A%A4%ED%8C%B8-%EB%A9%94%EC%9D%BC-%ED%8C%A8%ED%84%B4-%EB%B6%84%EC%84%9D-%EB%B0%8F-%ED%83%90%EC%A7%80-%EB%B0%A9%EB%B2%95/

2) https://www.linux.co.kr/bbs/board.php?bo_table=lecture&wr_id=3235