Digital Arts Security Reports

2019/10/17   
改ざんサイト    サイバー攻撃    標的型攻撃メール    i-FILTER    m-FILTER   

改ざんサイトからダウンロードされるEmotet

2019年9月16日(日本時間9月17日頃)、セキュリティ業界が騒然となりました。「Emotet」が戻ってきたのです。

Emotetとは

Emotetはもともとはバンキングマルウェアとして知られていました。2014年に初めてその活動が報告されたのち、何度も進化を繰り返しています。他のマルウェアを呼び込む機能やワームのように拡散機能をもつものなど様々な機能を持ちます。

Emotetの活動状況を示すひとつの参考として、URLhaus(※)に報告されたブラックリストの数を見てみましょう。

【図1】URLhausに報告されたURLのうち、タグに「Emotet」が含まれる数(集計期間:2019/01/01 - 2019/09/30)
【図1】URLhausに報告されたURLのうち、タグに「Emotet」が含まれる数
(集計期間:2019/01/01 - 2019/09/30)

2019年に入っても活動はとどまることを知らないように思えたものの、2019年6月に突如としてその活動を潜め、静けさが続きました。しかしながら多くのリサーチャーは、Emotetは終焉したわけではなくそのうち戻ってくることを予想していたようです。そしてそれは現実となります。

URLhausは、マルウェアの配布に使用されている悪意のあるURLを共有することを目的とした、オープンソースの素晴らしいプロジェクトです。世界中のセキュリティリサーチャーが解析・収集した悪性URL情報がここに多く報告されています。

Emotetの拡散手法

Emotetはメールでの拡散(ばらまき)を主としています。

【図2】Emotetの拡散手法
【図2】Emotetの拡散手法
  1. 経路1. メールに添付のWordファイルのマクロ実行後にEmotetをダウンロード
  2. 経路2. メールに添付のPDFファイル内に記載のURLリンクから、Wordファイルをダウンロードし、Wordファイルのマクロ実行後にEmotetをダウンロード
  3. 経路3. メール本文に記載のURLリンクから、Wordファイルをダウンロードし、Wordファイルのマクロ実行後にEmotetをダウンロード

復活したEmotetの報告されている情報等をまとめると、多くが経路1.の形での拡散のようです。

メールの送信元、件名、本文、添付ファイル等を、絶えず変化させています。しかし、ほとんどがWordファイルを用いてEmotetをダウンロード・感染させるという手法です。

Emotetダウンローダー

Wordファイル(.doc)を開くと下図のようになります。マクロが含まれるため、一般的な設定では黄色の警告バーが上部に表示されマクロは実行されません。しかし警告を無視して有効にしてしまうと、マクロが実行されてしまいます。

【図3】EmotetをダウンロードさせるWordファイルの例
【図3】EmotetをダウンロードさせるWordファイルの例

マクロ実行後のダウンロードURL

不正なマクロが実行されると、PowerShellを用いてEmotet(exe)をダウンロードして実行しようとします。以下にサンプルを示します。あくまで一例です。

【図4】PowerShellコマンドとBase64デコードしたもの
【図4】PowerShellコマンドとBase64デコードしたもの

また、PowerShellを使わないパターンも観測されています。このパターンでは、マクロ実行後に生成したJavaScriptファイルをWScriptで実行し、Emotet(exe)をダウンロードして実行するというものでした。

どちらのパターンでも、EmotetのダウンロードURLの特徴として

  • 5つ程度のURLが設定されている
  • Wordファイルや日時によって、設定されているURLは異なる
  • URLのほとんどが、改ざんされた正規のWebサイトを用いている

といったことが共通して挙げられます。

URLに改ざんサイトを用いる意図としては、すでに存在している正規のWebサイトにアクセスしていると思わせることにより、ブラックリストやアンチウイルスの回避・侵入後の発見を遅らせるといったことがあると思われます。

Emotetのダウンロードが成功し感染してしまうと、情報の窃取やあるいはワームのように自己拡散、あるいは別のマルウェアを感染させるなどといったことが考えられます。

主に海外圏でEmotetは流行していますが、日本でもその兆しが見受けられます。今後、急速に流行する可能性があるため注意が必要でしょう。

※2019/10/21 追記
日本国内で発生しているEmotetを用いた標的型(ばらまき型)攻撃メールにつきまして、弊社が観測した情報をサイバーリスク情報提供サービス「Dアラート」にて公開しています。

デジタルアーツでは

攻撃に対して個人が注意をするのには限界があります。攻撃メールを受信しない環境、添付ファイルを開封してしまっても感染または流出経路を防げる環境を作ることが大切です。下記ページも参照ください。

さらに、「i-FILTER」Ver.10.3から搭載された新機能 「ダウンロードフィルター」により 、改ざんサイトに設置されたEmotetのダウンロードをブロックすることが可能でした(※2019年9月末時点)。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

「i-FILTER」Ver.10と「m-FILTER」Ver.5は、これまでにない標的型攻撃対策機能を搭載し、外部からの攻撃対策と内部からの流出対策をひとつのソリューションで圧倒的なコストパフォーマンスのもと実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改ざん情報をお知らせする、登録不要の無償の情報提供サービスです。

最近の記事
Recent Entry

RSS

イベント・セミナー情報

Solution Forum 2019

日程
2019年11月19日(火)~20日(水)
会場
リコージャパン株式会社 浜離宮事業所

大企業に限らず、 中小企業の経営者・セキュリティご担当者様も必見! 「サプライチェーン攻撃」対策を、安価かつ堅牢に実現されている事例をご紹介

日程
2019年11月21日(木)
会場
オンラインセミナー

大企業に限らず、 中小企業の経営者・セキュリティご担当者様も必見! 「サプライチェーン攻撃」対策を、安価かつ堅牢に実現されている事例をご紹介

日程
2019年12月12日(木)
会場
オンラインセミナー

Palo Alto Networks × DAC プライベートセミナー 2019

日程
2019年12月13日(水)
会場
日比谷パークフロント 15F

DIS ICT EXPO
ダイワボウ情報システムがお届けするICT機器総合展示会・イベント

日程
宮崎:2019年9月3日(火)
札幌:2019年9月10日(火)
金沢:2019年11月6日(水)
瀬戸内(山口):2019年11月19日(火)
関西:2020年1月29日(水)
名古屋:2020年2月14日(金)
会場
宮崎:JA・AZMホール
札幌:札幌コンベンションセンター
金沢:金沢流通会館
瀬戸内(山口):海峡メッセ下関
関西:グランフロント大阪
名古屋:ウインクあいち