다음을 통해 공유


의심스러운 전자 메일 전달 활동에 대한 경고 분류

적용 대상:

  • Microsoft Defender XDR

위협 행위자는 사용자의 받은 편지함에서 전자 메일을 읽고, 외부 받는 사람에게 전자 메일을 전달하고, 피싱 메일을 보내는 등 여러 가지 악의적인 목적으로 손상된 사용자 계정을 사용할 수 있습니다. 대상 사용자는 전자 메일이 전달되고 있음을 인식하지 못할 수 있습니다. 이는 사용자 계정이 손상되면 공격자가 사용하는 일반적인 전술입니다.

전자 메일은 전달 규칙을 사용하여 수동으로 또는 자동으로 전달할 수 있습니다. 자동 전달은 받은 편지함 규칙, ETR(Exchange 전송 규칙) 및 SMTP 전달과 같은 여러 가지 방법으로 구현할 수 있습니다. 수동 전달에는 사용자의 직접 작업이 필요하지만 자동 전달된 모든 전자 메일을 인식하지 못할 수 있습니다. Microsoft 365에서는 사용자가 전자 메일을 잠재적으로 악의적인 전자 메일 주소로 자동 전달하면 경고가 발생합니다.

이 플레이북을 사용하면 의심스러운 Email 전달 활동 경고를 조사하고 TP(참 긍정) 또는 FP(가양성)로 빠르게 등급을 매깁니다. 그런 다음, TP 경고에 권장되는 작업을 수행하여 공격을 수정할 수 있습니다.

Office 365용 Microsoft Defender 및 Microsoft Defender for Cloud Apps 대한 경고 분류에 대한 개요는 소개 문서를 참조하세요.

이 플레이북을 사용한 결과는 다음과 같습니다.

  • 자동 전달된 전자 메일과 관련된 경고를 악의적인(TP) 또는 FP(양성) 활동으로 식별합니다.

    악의적인 경우 영향을 받는 사서함에 대한 전자 메일 자동 전달을 중지 합니다.

  • 이메일이 악의적인 전자 메일 주소로 전달된 경우 필요한 조치를 취합니다.

Email 전달 규칙

Email 전달 규칙을 사용하면 사용자가 사용자의 사서함으로 전송된 전자 메일 메시지를 organization 내부 또는 외부의 다른 사용자의 사서함으로 전달하는 규칙을 만들 수 있습니다. 일부 전자 메일 사용자, 특히 여러 사서함이 있는 사용자는 고용주 이메일을 개인 이메일 계정으로 이동하도록 전달 규칙을 구성합니다. Email 전달은 유용한 기능이지만 정보의 잠재적 공개로 인해 보안 위험을 초래할 수도 있습니다. 공격자는 이 정보를 사용하여 organization 또는 해당 파트너를 공격할 수 있습니다.

의심스러운 전자 메일 전달 활동

공격자는 손상된 사용자 사서함에 들어오는 전자 메일을 숨기도록 전자 메일 규칙을 설정하여 사용자의 악의적인 활동을 모호하게 할 수 있습니다. 또한 손상된 사용자 사서함에 규칙을 설정하여 전자 메일을 삭제하거나, 전자 메일을 RSS 폴더와 같이 눈에 띄지 않는 다른 폴더로 이동하거나, 외부 계정으로 전자 메일을 전달할 수도 있습니다.

일부 규칙은 모든 전자 메일을 다른 폴더로 이동하고 "읽기"로 표시할 수 있지만 일부 규칙은 전자 메일 메시지 또는 제목에 특정 키워드가 포함된 메일만 이동할 수 있습니다. 예를 들어 받은 편지함 규칙은 "청구서", "피시", "회신하지 않음", "의심스러운 이메일" 또는 "스팸"과 같은 키워드를 찾아 외부 전자 메일 계정으로 이동하도록 설정할 수 있습니다. 공격자는 손상된 사용자 사서함을 사용하여 스팸, 피싱 메일 또는 맬웨어를 배포할 수도 있습니다.

Office 365용 Microsoft Defender 의심스러운 전자 메일 전달 규칙을 검색하고 경고하여 원본에서 숨겨진 규칙을 찾아 삭제할 수 있습니다.

자세한 내용은 다음 블로그 게시물을 참조하세요.

경고 세부 정보

의심스러운 Email 전달 활동 경고를 검토하려면 경고 페이지를 열어 활동 목록 섹션을 확인합니다. 다음은 예입니다.

경고와 관련된 활동 목록

작업을 선택하여 사이드바에서 해당 활동의 세부 정보를 봅니다. 다음은 예입니다.

활동 세부 정보

조사 워크플로

이 경고를 조사하는 동안 다음을 결정해야 합니다.

  • 사용자 계정 및 해당 사서함이 손상되어 있나요?
  • 활동이 악의적인가요?

사용자 계정 및 해당 사서함이 손상되어 있나요?

보낸 사람의 과거 동작 및 최근 활동을 살펴보면 사용자의 계정이 손상된 것으로 간주되어야 하는지 여부를 확인할 수 있습니다. Microsoft Defender 포털의 사용자 페이지에서 발생한 경고의 세부 정보를 볼 수 있습니다.

영향을 받는 사서함에 대해 다음과 같은 다른 활동을 분석할 수도 있습니다.

  • 위협 Explorer 사용하여 전자 메일 관련 위협 이해

    • 보낸 사람에서 보낸 최근 이메일이 피싱, 스팸 또는 맬웨어로 검색된 수를 관찰합니다.
    • 전송된 전자 메일의 개수에 중요한 정보가 포함되어 있는지 확인합니다.
  • Microsoft Azure Portal 위험한 로그인 동작을 평가합니다.

  • 사용자의 디바이스에서 악의적인 활동을 확인합니다.

활동이 악의적인가요?

전자 메일 전달 활동을 조사합니다. instance 경우 전자 메일 유형, 이 전자 메일의 받는 사람 또는 전자 메일이 전달되는 방식을 검사.

자세한 내용은 다음 문서를 참조하세요.

의심스러운 이메일 전달 활동을 식별하는 워크플로는 다음과 같습니다.

이메일 전달에 대한 경고 조사 워크플로

Microsoft Defender 포털의 기능 가용성에 따라 위협 Explorer 사용하거나 고급 헌팅 쿼리를 사용하여 전자 메일 전달 경고를 조사할 수 있습니다. 필요에 따라 전체 프로세스 또는 프로세스의 일부를 따르도록 선택할 수 있습니다.

위협 Explorer 사용

위협 Explorer 이메일 관련 위협에 대한 대화형 조사 환경을 제공하여 이 활동이 의심스러운지 여부를 확인합니다. 경고 정보에서 다음 표시기를 사용할 수 있습니다.

  • SRL/RL: (의심스러운) 수신자 목록(SRL)을 사용하여 다음 세부 정보를 찾습니다.

    받는 사람 목록의 예

    • 이 받는 사람에게 이메일을 전달한 사람은 누구인가요?
    • 이 수신자에게 전달된 이메일은 몇 개입니까?
    • 이러한 받는 사람에게 전자 메일을 얼마나 자주 전달합니까?
  • MTI: 메시지 추적 ID/네트워크 메시지 ID를 사용하여 다음 세부 정보를 찾습니다.

    네트워크 메시지 ID의 예

    • 이 전자 메일에 사용할 수 있는 다른 세부 정보는 무엇인가요? 예: subject, return path 및 timestamp.
    • 이 이메일의 출처는 무엇인가요? 비슷한 전자 메일이 있나요?
    • 이 전자 메일에 URL이 포함되어 있나요? URL이 중요한 데이터를 가리키나요?
    • 전자 메일에 첨부 파일이 포함되어 있나요? 첨부 파일에 중요한 정보가 포함되어 있나요?
    • 전자 메일에서 수행된 작업은 무엇인가요? 삭제되었거나, 읽은 것으로 표시되었거나, 다른 폴더로 이동되었나요?
    • 이 전자 메일과 관련된 위협이 있나요? 이 이메일은 캠페인의 일부인가요?

이러한 질문에 대한 답변에 따라 이메일이 악의적인지 양성인지 확인할 수 있어야 합니다.

고급 헌팅 쿼리

고급 헌팅 쿼리를 사용하여 경고와 관련된 정보를 수집하고 활동이 의심스러운지 여부를 확인하려면 다음 표에 액세스할 수 있는지 확인합니다.

  • EmailEvents - 전자 메일 흐름과 관련된 정보를 포함합니다.

  • EmailUrlInfo - 전자 메일의 URL과 관련된 정보를 포함합니다.

  • CloudAppEvents - 사용자 활동의 감사 로그를 포함합니다.

  • IdentityLogonEvents - 모든 사용자에 대한 로그인 정보를 포함합니다.

참고

특정 매개 변수는 organization 또는 네트워크에 고유합니다. 각 쿼리에 지시된 대로 이러한 특정 매개 변수를 입력합니다.

이 쿼리를 실행하여 이러한 수신자에게 전자 메일을 전달한 사람(SRL/RL)을 확인합니다.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId

이 쿼리를 실행하여 이러한 수신자에게 전달된 전자 메일 수를 확인합니다.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress

이 쿼리를 실행하여 이러한 받는 사람에게 전자 메일이 전달되는 빈도를 확인합니다.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)

이 쿼리를 실행하여 전자 메일에 URL이 포함되어 있는지 확인합니다.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti

이 쿼리를 실행하여 전자 메일에 첨부 파일이 포함되어 있는지 확인합니다.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti

이 쿼리를 실행하여 전달자(보낸 사람)가 새 규칙을 만들었는지 확인합니다.

let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
    "New-InboxRule",
    "UpdateInboxRules",
    "Set-InboxRule",
    "Set-Mailbox",
    "New-TransportRule",
    "Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)

이 쿼리를 실행하여 이 사용자의 비정상적인 로그인 이벤트가 있는지 확인합니다. 예를 들어 알 수 없는 IP, 새 애플리케이션, 일반적이지 않은 국가/지역, 여러 LogonFailed 이벤트가 있습니다.

let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender

전달 규칙 조사

규칙 유형(경고의 FT 값)에 따라 Exchange 관리 센터를 사용하여 의심스러운 전달 규칙을 찾을 수도 있습니다.

  • Etr

    Exchange 전송 규칙은 규칙 섹션에 나열됩니다. 모든 규칙이 예상대로 표시되는지 확인합니다.

  • SMTP

    보낸 사람의 사서함 메일 흐름 설정 > 관리 Email 전달 편집을 선택하여 사서함> 전달 규칙을 볼 수 있습니다>.

  • InboxRule

    받은 편지함 규칙은 전자 메일 클라이언트로 구성됩니다. Get-InboxRule PowerShell cmdlet을 사용하여 사용자가 만든 받은 편지함 규칙을 나열할 수 있습니다.

추가 조사

지금까지 검색된 증거와 함께 새 전달 규칙이 생성되고 있는지 확인할 수 있습니다. 규칙과 연결된 IP 주소를 조사합니다. 비정상적인 IP 주소가 아니며 사용자가 수행하는 일반적인 활동과 일치하는지 확인합니다.

연결된 활동이 이 경고를 True Positive로 만드는 것으로 확인되면 경고를 분류하고 수정을 위해 다음 작업을 수행합니다.

  1. 받은 편지함 전달 규칙을 사용하지 않도록 설정하고 삭제합니다.

  2. InboxRule 전달 형식의 경우 사용자의 계정 자격 증명을 다시 설정합니다.

  3. SMTP 또는 ETR 전달 형식의 경우 경고를 만든 사용자 계정의 활동을 조사합니다.

    • 다른 의심스러운 관리자 활동을 조사합니다.

    • 사용자 계정의 자격 증명을 다시 설정합니다.

  4. 영향을 받는 계정, IP 주소 및 의심스러운 보낸 사람에서 시작된 다른 활동을 확인합니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.