バンキング型トロイの木馬「Emotet」は、発見されてから 5 年経った今も進化し続けています
。世界でも特に危険なボットネットであり、プロ組織によるマルウェア ドロッパーのひとつです。Emotet が投下したマルウェア ペイロードには(他の攻撃よりも)高い収益力があります。バンキング型トロイの木馬や、情報窃盗、電子メール収集、自己増殖などのメカニズムを備えていることが多く、ランサムウェアとして機能する場合もあります。
Emotet は 2019 年 6 月から長らく沈静化していました。それはコマンド アンド コントロール(C2)のアクティビティからも見てとれます。しかし夏の終わりが近付くと、C2 インフラにおける Emotet のアクティビティが再び活発になりました。2019 年 9 月 16 日の時点で Emotet ボットネットは完全に復活し、スパム活動を再開しています。ただし、シスコのお客様はこれまでの Snort カバレッジで保護されます。Emotet の最近のアクティビティから新しい IOC を把握していますが、過去の Snort カバレッジは現在でも Emotet に有効です。不審な電子メールの添付ファイルを開かず、強力なパスワードを使用するなど、従来のベスト セキュリティ プラクティスも依然として有効です。
Emotet による電子メールの拡散
Emotet の自己拡散で特にずる賢い手口は、ソーシャル エンジニアリングによるスパム メール送信です。Emotet は、盗んだ電子メールの内容をきわめて効果的に再利用します。標的にしたユーザの電子メールを盗み、未読メッセージの返信に、新しい攻撃メッセージを作成します。そのとき、スレッド内にある実際のメッセージの本文を引用します。
上の電子メールは、Emotet のソーシャル エンジニアリングを示しています。この例は、Emotet が送信した悪意のあるメールです。本文には、米国の市長の側近 2 人によるやり取りの内容が含まれています。
- 最初に Lisa が、市長が近々出席する式典の広告について書いたメールを Erin に送信しました。
- Erin は、その依頼の詳細を尋ねるために Lisa に返信します。
- この時点で Lisa が Emotet に感染。その後 Emotet は、Erin のメッセージを含めて Lisa の受信トレイから内容を盗みます。
- Emotet は Lisa を装い、Erin への返信内に攻撃メッセージを作成。感染した Word 文書に添付されています。
現在やり取りしている電子メールの続きだと考えるユーザが、このような手口に引っ掛かる可能性があることは、簡単に理解できます。それが、Emotet がメールを介して自己拡散を成功させている理由のひとつです。既存のメールの会話を乗っ取り、本物の件名ヘッダーや内容を使用しているため、メッセージがランダム化され、スパム対策システムによるフィルタリングが難しくなります。
Emotet の電子メール送信インフラストラクチャ
このメッセージは、Emotet に感染した Lisa のコンピュータから、Lisa が設定した送信メール サーバを使用して送信されたわけではありません。まったく異なる場所にある感染源から、まったく関係のない送信 SMTP サーバを使用して送信されています。
Emotet は、攻撃対象者の受信トレイの内容を盗むだけでなく、メール送信に必要な資格情報も盗んでいることが判明しました。Emotet は、盗み出した資格情報をネットワーク内の他のボットに配布します。ボットは、その資格情報を利用して、Emotet の攻撃メッセージを送信します。
Emotet を分析する過程で、Cisco Talos では、マルウェア サンドボックスである Threat Grid で、このマルウェアのコピー数十万個をフル活動させました。この 10 ヵ月間で、Emotet は Threat Grid の感染源を、19,000 回近くスパム送信マシンとして利用しようとしました。
Emotet の C2 が感染源のひとつをスパム送信マシンとして指定すると、そのマシン、つまりボットは、ユーザ名、パスワード、メール サーバの IP アドレスが含まれる、送信メール資格情報の一覧を受け取ります。この 10 ヵ月間で、Cisco Talos では、一意のユーザ名、パスワード、IP の組み合わせを、349,636 件収集しました。当然ですが、大規模なネットワークの多くでは、複数のメール サーバ IP アドレスが展開されます。データを確認すると、重複するユーザとパスワードが、異なるものの関連するメール サーバ IP に使用されていました。サーバの IP データを削除して、ユーザ名とパスワードを正確に調べることで、一意のユーザ名とパスワードの組み合わせ 202,675 件を確認できました。
Talos では、1 ヵ月間にわたって感染を観察したため、Emotet が配布していた資格情報の平均寿命を評価できました。全体で見ると、盗まれた送信メール資格情報 1 セットあたりの平均寿命は 6.91 日でした。しかし、配布をさらに詳しく調べると、Emotet が盗んで使用した資格情報の 75% が、1 日未満で寿命を終えています。また、Emotet が盗んだ資格情報の 92% は 1 週間以内に消失しています。Emotet の送信メール インフラストラクチャの残り 8% の寿命は、それよりも非常に長くなっています。
実際に、Emotet が送信資格情報の一部をサンプル データの全期間で使用していることが分かりました。次のグラフは、寿命の長い資格情報の数を示しています。X 軸が日数を、Y 軸が盗まれた SMTP 資格情報の数を表しています。非常に多くの送信メール資格情報が、盗まれた後、何ヵ月も使用されています。Talos では、現在最悪とも言える攻撃者のひとつを阻止しようと、影響を受けたネットワークに接続しています。
Emotet の受信者
単に新しい攻撃メッセージを作成するのではなく、古い電子メール メッセージを盗み、進行中の電子メールの会話に即座に入り込むには、かなりの労力がかかります。Emotet が 2019 年 4 月の間に送信しようとしたすべてのメールを確認したところ、約 8.5% に、盗んだ会話が含まれていました。しかし、Emotet が活動を再開して以降、Emotet の送信メールのほぼ 4 分の 1 に盗まれたメールのスレッドが確認されており、この戦術の向上が伺われます。
また、Emotet は搾取の標的となりうる受信者の大規模なデータベースを持っているようです。2019 年 4 月に Emotet の攻撃メッセージの対象となった受信者をすべて調べた結果、受信者の 97.5% が 1 つのメッセージしか受信していないことが分かりました。しかし、同じ期間に、攻撃メッセージを 10 件受け取った被害者が 1 人いました。Emotet は、そのユーザに特に恨みがあるのかもしれません。または、それ以上の可能性として、標的のメール アドレスをスパム送信マシンに配布する方法のアーティファクトを示すものと考えられます。
パスワードについて一言
Emotet が盗んだ送信メール資格情報には 176,000 を超える一意のパスワードが含まれていたため、Talos では、ユーザ名やメール サーバの IP に関係なく、パスワードを確認することにしました。次に、最も一般的なパスワードの一覧を示します。左側は、その特定のパスワードを使用して見つかった一意の送信 SMTP 資格情報の数です。
「123456」や「password」など、常に問題のあるパスワード(その多数のバリエーションも含めて)が顕著に表れることは驚くべきことではありません。しかし、それ以上に珍しいパスワードが、この組み合わせには含まれています。なぜこれほど多くのアカウントで、珍しいパスワードの使い回しが見られるのでしょうか。おそらくこれは、Emotet の被害者自身が、数多くの異なるメール ボックスを管理すると同時に、多数の個別アカウントで同じパスワードを再利用するというサイバー セキュリティの重罪を犯していることの現れです。
まとめ
Emotet は何年も前から存在しており、この復活は驚くべきことではありません。幸いなことに、Emotet の攻撃を防ぐためのアドバイスは今でも有効です。Emotet に電子メール アカウントの悪用を許さないように、強力なパスワードを使用し、メール プロバイダーのオプションが利用できれば、多要素認証を選択しましょう。古いスレッドへの予期しない返信と思われるメール、文脈に合わない疑わしいメール、親しいユーザであってもよく知らないメール アドレスからのメッセージなどには注意してください。いつものように、Snort ルールを使用してシステムとネットワークを保護することもできます。Talos がリリースした以前の Snort ルールによっても、Emotet の現在の活動を防ぐことができます。また、Talos では、今後も常に新しいカバレッジを提供します。
これは、セキュリティ研究者や実践者にとっても、手綱を緩めないことを意識する良い機会です。脅威グループは、沈黙しても、完全に消えることはまずありません。むしろ、新しい IOC、戦術、技術、手順や、現在の検出を回避する新しいマルウェアの亜種とともに復活するチャンスが広がります。今年の初めに、Gandcrab の攻撃者が活動を終了するとされたときのように、脅威が永久になくなると仮定するのは、決して安全なことではありません。
IOC
Emotet の最新の活動に関連する侵害の兆候については、こちらでご確認いただけます。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
特定の環境および脅威データに対する追加の保護は、Firepower Management Center から入手できます。
オープン ソースの SNORTⓇサブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
本稿は 2019年9月17日に Talos Group
Authors