주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=ms-graph-v2-cases

MS Graph security API V2

API 생산성

MDR은 동일한 세션 내에서 8개의 서로 다른 IP 주소, 2개의 서로 다른 Chrome 버전 사용자 에이전트 문자열 및 Windows NT와 Macintosh를 모두 OS로 식별했습니다. 이러한 유형의 작업은 일반적으로 Evilginx, Modlishka 또는 Muraena와 같은 AiTM(Middle) 플랫폼에서 공격자가 토큰 또는 자격 증명을 사용하여 M365에 로그인하는 새로운 IP에서 사용자의 자격 증명 및 토큰을 캡처한 후 공격자가 재생하는 공격자에 의해 발생합니다.

철저한 조사 결과, MDR은 동일한 고객 내에서 다음과 같은 흥미로운 속성을 가진 받은 편지함 규칙이 있는 여러 사용자를 포함하여 침해를 당한 6명의 다른 사용자를 식별했습니다.

  • MarkAsRead: 이 매개 변수가 TRUE이면 이메일가 읽음으로 표시됩니다. 적들은 이 전술을 사용하여 타협을 숨기는 데 도움을 줍니다.
  • Name: 받은 편지함 규칙에 지정된 이름입니다. 이 경우, 적수는 이름을 "s"로 만들었습니다. 적들은 일반적으로 짧은 이름을 사용하여 받은 편지함 규칙에 대한 관심을 덜 끌어냅니다.
  • SubjectOrBodyContainsWords: 공격자는 이 SubjectOrBodyContainsWords 속성을 사용하여 이메일을 키워드로 필터링할 수 있습니다. 이 경우 공격자는 키워드를 필터링한 다음 일치하는 이메일을 이동했습니다.
  • DeleteMessage: DeleteMessage True이면 이메일가 삭제되고 최종 사용자는 이메일가 존재하는지 모릅니다.

이러한 모든 속성을 종합하면 사용자가 이메일를 수신할 때 "해킹", "피싱", "악의적", "의심스러운", "사기", "MFA" 또는 "스푸프"인 경우 이메일가 읽음으로 표시된 다음 삭제됩니다. 이렇게 하면 최종 사용자가 손상될 수 있다는 사실을 숨길 수 있습니다.