Emotet は長年にわたって出回っている最もよく知られたマルウェアの 1 つですが、その間も攻撃者が改良を加えていないわけではありません。Cisco Talos は最近、メールで悪名高いバンキング型トロイの木馬を配布している新しいキャンペーンを発見しました。これらの新しいキャンペーンは、Emotet の配布活動が比較的少なかったクリスマス休暇の時期の後に確認されました。この新しい悪意のある取り組みは、Emotet をダウンロードするマクロを組み込んだ Microsoft Word ファイルをメールに添付して被害者に送付するというものでした。
この最新の Emotet には、悪意のあるメールの送信元である感染した IP がスパムのブラックリストに追加されているかどうかをチェックする機能も加えられていました。この機能により、攻撃者は迷惑メール フィルタに引っかかることなく、より多くのユーザの受信ボックスにメールを送信することが可能になりました。
Emotet の概要
Emotet は現在のクライムウェアの中でも最も広く配布され、活発に開発が行われたマルウェア ファミリの 1 つです。さまざまなペイロードを配布する非常に高度なモジュール型の脅威です。Emotet は純粋なバンキング型トロイの木馬として登場しましたが、年月を経て進化を続け、最も最近では大規模な標的型 Ryuk ランサムウェア感染 Ryuk ランサムウェアinfections と関連付けられています。主な感染ベクトルは依然として、広範なスパム キャンペーンの一部として送信される悪意のあるメール経由での配布です。Emotet は通常マクロが埋め込まれた Office 文書を介して配布されたり、URL ベースのスパム メッセージから感染したりします。これらのキャンペーンは日々変化および進化を遂げており、それを支えるインフラストラクチャもほぼ継続的に変化しています。Emotet が一部のコマンド アンド コントール(C2)サーバを長期間にわたって再利用することは珍しくありません。
Emotet の目標は、クライムウェアベースの脅威と同様に収益化することです。攻撃者は Emotet を使用して感染を収益化するモジュール型のペイロードを配布します。これらのペイロードには、バンキング型トロイの木馬、スティーラー、自己増殖、メールのハーベスタやランサムウェアなどの脅威が含まれます。攻撃者が展開するモジュールは、感染したシステムとそのシステムが存在する環境を収益化できる最適な方法に基づいて選択されます。
キャンペーンの詳細
現在 Emotet を配信するアクティブなキャンペーンは複数存在します。これらのキャンペーンは 2 種類の方法で発生します。1 つ目は、Word 文書が添付されたシンプルなメールです。以下はこのようなメールの一例です。
Emotet は通常、件名をうまく変化させることができるため、配布期間中に件名が同じ大量のメールが確認されることはめったにありません。これらのキャンペーンも例外ではありません。Talos は、請求書や宅配便を主な題材にしたさまざまな件名を確認しています。また、メールには異なる言語が使用されています。以下は、現在繰り広げられているドイツ語のキャンペーンの一例です。この例はキャンペーンの 2 つ目の種類であることも確認できます。マルウェアを取得するマクロが組み込まれた Office 文書ではなく、直接ダウンロードする URL を使う方法です。
ユーザがメールのメッセージを開けて添付ファイルを開くかリンクをクリックすると、添付ファイルに埋め込まれたコードを使って、あるいは、メールに記述された URL の Web サイトから直接マルウェアがシステムにダウンロードされます。
悪意のある添付ファイルに埋め込まれた悪意のあるコードは、Emotet マルウェアのダウンローダとして機能します。このコードが実行されると PowerShell が呼び出されます。PowerShell は Emotet のマルウェア配信サーバにアクセスして悪意のあるペイロードをダウンロードおよび実行し、システムを感染させます。
上記のスクリーンショットからは、Emotet に関連付けられた PE32 の実行ファイルをダウンロードする複数の URL でスクリプトが構成されていることがわかります。こうすることで、一部の URL が削除されたり、侵害サイトのクリーンアップの対象として利用できなくなったりした場合でも、ダウンローダはリストを反復処理できるため、弾力性が得られます。
このマルウェアは侵害を受けた Web サイトで確実にホストされ、これらのサイトはホスティング場所としてキャンペーンが利用するようになります。Talos が最近確認した異常な挙動として、HTTP 301 リダイレクトの使用があります。最初の URL は、ヘッダーで接続のキープアライブが設定された状態で要求されます。この最初の HTTP 要求には 301 リダイレクトが応じ、もう一度同じ URL を要求します。この 2 つ目の要求の結果としてマルウェアが配信され、ヘッダーのキープアライブ設定が無効になります。その URL を直接閲覧した場合もマルウェアが返されるため。301 のリダイレクトと 2 つ目の要求の理由は不明です。以下はこの挙動の例です。
最初のインストールの後に C2 機能が開始します。Emotet はさまざまなポート(20、80、443、7080、8443、および 50000)で C2 サーバに接続しますが、使用されるポートはこれらに限りません。通常は HTTP トラフィックを使ってハードコーディングされた IP アドレスに接続されます。それは次の例と似ています。
上記の例では、ポート 20 で実行される HTTP がハード コーディングされた IP アドレスの 1 つに接続しています。特に Emotet のスパム モジュールに関して、最近さらに挙動の変化がありました。Talos は最近、SpamCop や Spamhaus、SORBS などが提供する数多くのスパム関連のブラックリストに、侵害を受けたシステムの IP アドレスが含まれているかを Emotet がチェックしているのを確認しました。以下は、メールのブラックリスト クエリを示す ThreatGrid のレポートです。
これは、Emotet にほぼ定期的に加えられてきた歴代の改良のうちのつい最近のものに過ぎません。現在も継続的に新しい機能がテストされ、展開されるという定期的な開発が続いています。こうした開発が、このマルウェアが広く拡散される理由の 1 つになっています。
まとめ
Emotet のようなモジュール型のマルウェア ファミリは時間の経過とともに増加し続けます。クライムウェアの重要なポイントは「収益化」です。複数の異なるペイロードを配布することが可能なマルウェア ファミリは、不正に金銭を稼ごうとする者にとってはますます魅力的なものとなりつつあります。最近のスパミング モジュールのブラックリスト チェックからもわかるように、Emotet は可能な限り金銭上の利益を最大化させ、同時に投資利益率の低いペイロードを最小限に抑えることを目的としています。このような変更が行われる限り、Emotet はクライムウェアの上位付近にとどまり続けるでしょう。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープン ソースの SNORT? サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
侵害の兆候
これらのキャンペーンに関連する侵害の兆候(IOC)の一覧はhereから取得できます。
本稿は 2019年1月15日に Talos Group のブログに投稿された「Emotet re-emerges after the holidays」の抄訳です。