관리 메뉴

MY IT Life

[보낸 사람도 받는 사람도 나]Email Bounce Attack 본문

03. Symantec/Message Gateway

[보낸 사람도 받는 사람도 나]Email Bounce Attack

IT정보 검짱돌이 2018. 9. 21. 10:50

안녕하세요

저희 회사를 비롯하여 여러 회사에 요즘 퍼지고 있는 메일이 니 몸캠 사진을 가지고 있으니 500$의 비트코인을 보내라는 스팸메일 입니다. 근데 메일을 보내 보낸사람도 나고 받는 사람도 나네요.. 내가 보낸적이 없는데... 그럼 이 메일은 어떻게 보내지는 걸까요?

먼저 스패머는 기업에 메일을 보내야 합니다. 
근데 그 기업에 다니는 사람들의 메일 정보가 없으니 찾아봐야겠지요? 어떻게 찾을 수 있을까요? 

바로 Email address 수집을 위한 공격을 합니다. 아래 그림과 같이 메일을 무작위로 보내요. a@pp.com, ab@pp.com, abc@pp.com.....겁나게 많은 알파벳과 숫자 특수문자를 넣어서 상대방 메일 서버에 보냅니다.
이것을 Directory or Dictionary harvest Attack이라고 합니다. 

그럼 메일 서버에서는 자신의 서버에서 없는 메일은 user unknown 이런식으로 NDR(Non Delivery Report)를 보내겠지요
그럼 스패머는 "아~ NDR이 없는 메일은 잘 들어 갔으니 실제 메일 사용자가 있겠네." 라고 생각할 수 있습니다.

그럼 이제부터 상대방한테 메일을 보내야 하는데 내가 쓰는 Email 서버 IP로 스팸을 뿌리면 금방 RBL(Real Black or Block List)에 걸리게 되겠죠. "아 씨x 100개 밖에 못보냈는데 IP 막혔네...." 이렇게 생각한 스패머는 "야...그럼 다른 방법을 이용해서 스팸을 보내자.." 머 이런식으로 생각을 하겠지요

그래서 스패머는 다른 회사에 감염 PC를 만듭니다. Email을 통해 "이쁜여자 사진입니다." 뭐 이렇게 보내면 무지한 사용자가 메일 첨부를 열고 실행하면 좀비 PC가 만들어 지지요. 그 다음 사용자 PC를 통해 대량의 스팸을 발생시킵니다.

기업 담당자는 이렇게 얘기합니다. "사내에서 외부로 25번 포트를 이용해 메일을 뿌려요.. 그래서 우리 회사 메일 IP가 RBL에 걸렸네요." 하지만 경우는 안티바이러스나 PC를 포멧해버리면 그만이므로 스패머가 유용하게 사용할 방법은 아니라고 판단합니다.

그래서 스패머는 다른 방법을 생각해내지요. "다른 회사(victim)메일 서버를 통해 A회사로 스팸을 보내자"라구요
그럼 아래와 같이 From주소를 스팸을 받을 회사 주소로 To도 스팸을 받을 회사 주소로..
발신자: a@a.com
수신자 : a@a.com
그리고 이 메일을 c@c.com으로 보냅니다. 

그럼 c.com메일 서버에서는 이렇게 말하죠 "야 우리 회사에 a@a.com 주소가 없어 어디보자...보낸사람이 a@a.com이니 이쪽으로 회신을 보내야겠다." 그리고 a@a.com으로 회신을 보냅니다.

그렇게 되면 Sender와 Recipients가 동일한 메일을 이 글을 보시는 님이 받게 되는 겁니다.
여기까지가 왜 동일한 발신자 수신자 계정으로 스팸이 수신되냐입니다.
그럼 어떻게 차단해야 하나요?라는 질문이 올텐데..이미 보유하고 계신 장비에 차단 기능이 있으면 차단하시면 되나 국내에 많이 사용되고 있는 장비에서는 차단방법이 없더군요. 

발신자 IP나 도메인, 이메일주소 차단은 의미가 없습니다. 위 설명한 내용을 보시면 이해가 되실 겁니다.
그래서 지금은 안티스팸서버를 교체할 수 없으니 아쉽지만 키워드로 차단하셔야 합니다.




0 Comments
댓글쓰기 폼