All You Need to Know About Emotet in 2022
2022/11/26 TheHackerNews — 直近の6ヶ月間において、ほとんど活動していなかった Emotet ボットネットだが、いまは悪質なスパムを配信し始めている。ここでは、この悪名高いマルウェアに対抗するために、知っておくべきことを詳しく説明していく。Emotet は、これまでに作られたトロイの木馬の中で、最も危険な 1 つであることに間違いはない。このマルウェアは、規模と精巧さを増すにつれて、きわめて破壊的なプログラムとなった。スパムメール・キャンペーンにさらされた企業ユーザーから個人ユーザーまで、誰でもが被害者になり得る。
誰もが Emotet に怯える理由はどこに?
このボットネットは、悪意の Excel/Word 文書などを用いたフィッシングを介して配布される。ユーザーが、それらの文書を開き、マクロを有効にすると、Emotet DLL がダウンロードされ、メモリにロードされる。
続いて、Emotet は電子メール・アドレスを検索し、スパム・キャンペーンに使用するための電子メールアドレスを盗み出す。さらに、このボットネットは、Cobalt Strike などの、次の段階で機能するペイロードをドロップし、ランサムウェア攻撃などへとステージを進める。
Emotet の多様な性質は、そこに含まれるモジュールとともに、このマルウェアの特定を困難にしている。Emotet チームは、既存の検出ルールが適用できないようにするために、常に TTP (Tactics, Techniques, and Procedures) を変更している。感染させたシステムに身を隠す戦略の一環として、この悪意のソフトウェアは、複数のステップを用いて追加のペイロードをダウンロードしていく。
そして、Emotet の動作の結果は、サイバー・セキュリティの専門家から見れば壊滅的なものであり、このマルウェアを除去することは、ほぼ不可能である。さらに言うなら、迅速に拡散し、誤ったインジケータを生成し、攻撃者のニーズに合わせて適応していく。
Emotet のアップグレードの歴史について
Emotet は、高度で常に変化するモジュール式のボットネットである。このマルウェアは、2014年にシンプルなバンキング・トロイジャンとして、その歩みを始めた。しかし、それ以来、さまざまな機能や、モジュールを大量に獲得し、キャンペーンを展開してきた。その概要は、以下の通りである。
- 2014:不正送金/メールスパム/DDoS/アドレス帳窃盗などの各モジュール
- 2015:検出回避の機能
- 2016:メールスパム/RIG 4.0 エクスプロイトキット/他トロイの木馬の配信
- 2017:アドレス帳のスプレッダー/スティーラー・モジュール
- 2021:Cobalt Strike によりドロップする XLS 悪意のテンプレートと MSHTA の使用
- 2022:機能は更新されていないが、いくつかのアップデートが行われた
こうしたトレンドが証明するのは、頻繁な休暇や公式な停止があるにもかかわらず、Emotet が消えて無くならないという事実である。このマルウェアは進化が早く、何にでも適応していく。
最新の Emotet 2022 バージョンで獲得された機能は?
約半年間の休息を経た Emotet ボットネットは、さらに強力になって戻ってきた。ここでは、新しい 2022 バージョンについて、知っておくべきことを説明していく。
- モジュール式のバンキング・トロイの木馬 IcedID をドロップ
- ウォレットデータを盗み出すマイナー XMRig をロード
- トロイの木馬のバイナリに対する変更
- 64-bit コードベースを用いた検出の回避
- 新たなバージョンと新たなコマンド群:
Emotet の目標/目的/変化は:
- Google Chrome などのブラウザからの認証情報の取得
- SMB プロトコルを用いた企業データの収集
- 半年前と同様に悪質な XLS ルアーを用いるが新バージョンを採用
Emotetを検出するには?
対 Emotet における主な課題は、システム内で Emotet を迅速/正確に検出することだ。さらに、マルウェア・アナリストたちは、このボットネットの挙動を理解して、今後の攻撃を防止しすると伴に、起こりうる被害を回避する必要がある。
長い開発ストーリーを持つ Emotet は、反侵害戦略においてステップアップしている。プロセス実行チェーンの進化と、感染システム内でのマルウェア活動の変化を通じて、このマルウェアは検出回避テクノロジーを大幅に修正した。
たとえば、2018年には、プロセスの名前を見ることで、このマルウェアを検出できた。それは、以下のうちの1つだった。
eventswrap, implrandom, turnedavatar, soundser, archivesymbol, wabmetagen, msrasteps, secmsi, crsdcard, narrowpurchase, smxsel, watchvsgd, mfidlisvc, searchatsd, lpiograd, noticesman, appxmware, sansidaho
その後の、2020年 Q1 には、Emotet はレジストリに特定のキーを作成し始めた。それは、長さが8のシンボル (letter/character) の値を持つキーを、HKEY_CURRENT_USER OPTICALWARE OPTICALWINDOWS OPTICAL VERSION EXPLORER に書き込むことである。
もちろん、常に SURICATA のルールは、このマルウェアを識別するが、ルールの更新が必要なため、最初の波を超えても、検出システムの継続した使用は珍しくない。
このマルウェアを検出するための、もう1つの方法は、悪意のドキュメントの解析にある。Emotet は、特定のテンプレートやルアーを使用しているが、文法的な誤りが含まれていた。 したがって、Emotet を検出する最も信頼できる方法の1つとして、YARA ルールの活用がある。
このマルウェアの回避技術に対抗して、ボットネットを捕捉する。この目的のための、最も便利なツールとしてマルウェア・サンドボックスを活用する。ANY.RUN では、悪意のオブジェクトの検出/監視/分析だけでなく、すでに抽出されているコンフィグレーションを、サンプルから取得することも可能だ。
Emotet の解析だけに使用する機能もある。
- 悪意のサンプルにおける C2 リンクを、FakeNet を用いて抽出
- Suricata/YARA ルールセットを用いた、ボットネットの正確な識別
- サンプルのメモリ・ダンプから、C2 サーバ/キー/文字列などのデータを取得
- 新鮮なマルウェアの IOC を収集
このツールにより、マルウェア・アナリストは貴重な時間を節約し、迅速かつ正確な調査を達成できる。Emotet は、その機能と追加ペイロードの配信について、手の内を見せていない。ANY.RUN オンライン・マルウェア・サンドボックスのような最新のツールを用いて、サイバー・セキュリティを向上させ、このボットネットを効果的に検出してほしい。
Emotet 2022 を分析してくれる、とても有り難い記事ですね。文中にもあるように、狙われるのは、Google Chrome などのブラウザからの認証情報/SMB プロトコルを用いた企業データであり、半年前と同様に悪質な XLS ルアーが用いられるとのことです。なお、11月21日の「Emotet の大規模マルスパム・キャンペーンを検出:IcedID や Bumblebee などをドロップ」には、「それらの悪意のファイルを、Microsoft Office テンプレートのロケーション (信頼できる場所) にコピーし、そこからルアー・ドキュメントを起動するよう、潜在的な被害者に促すという手段がある」という、気になる指摘がありました。Microsoft の VBA ブロックを回避する戦術のようです。よろしければ、Emotet で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.