Categories: 脅威リサーチ

活動再開:2020 年の Emotet アクティビティの分析

Emotet は、今最も大規模に拡散されているマルウェアファミリの一つです。世界各地でほぼ毎日、大量の Emotet メールが個人や組織に送り付けられています。これらのメールは、すでに感染したシステムから自動的に送信されることが一般的です。感染済みシステムは新たなシステムを Emotet に感染させ、ボットネットを拡大しようとします。多くの場合、Emotet は多段階感染プロセスの初期段階で侵入します。標的型攻撃で使われることはありません。Emotet はこの数年間であらゆる国のシステムに感染し、その多くが重大なセキュリティインシデントにつながっています。Emotet でネットワークへのアクセスが可能になると、攻撃者は大物狩りや二重脅迫ランサムウェアといったさらなる攻撃を仕掛けられるためです。

Cisco Talos は、Emotet が SMTP メッセージの送信に使用しているドメインをいくつか取得しました。そこで Talos は、これらのドメインをメール通信のシンクホールとして利用し、Emotet ボットネットから発信されるメールキャンペーンを経時的に観測しました。さらに、感染の範囲や特徴、Emotet の影響を受けている組織についても分析しました。この数年、Emotet は長期にわたって活動を休止することがありました。2020 年もその傾向は変わっていません。2020 年に至るまでの Emotet の状況と、インターネット全般に及ぼしてきた影響を見てみましょう。

Emotet の背景

登場当初の Emotet はバンキング型トロイの木馬でした。しかし時間の経過とともに、さまざまな用途に利用される高度なモジュール型の脅威へと進化しました。近年では、侵害したネット―ワーク内で「足がかり」として利用されることが多くなっています。Emotet により初期アクセスや長期潜伏が可能になるため、攻撃者はネットワーク内で侵入先を広げることができます。Emotet は多くの場合、多段階感染プロセスの初期ペイロードとして利用されます。攻撃者は侵害したネットワーク内で長期にわたって Emotet を運用し、やがては Emotet により得られた足がかりを利用して組織をさらに攻撃します。環境内のシステムが長期にわたって感染していると、システムのバックアップも感染しているおそれがあるため、ネットワーク防御者は特に注意する必要があります。

Emotet とともに拡散されることが多いマルウェアファミリは、Trickbot や Qakbot などです。Ryuk による攻撃など、ネットワークベースのランサムウェアインシデントを発生源まで追跡していくと分かることですが、多くの場合は Emotet でネットワークへの初期アクセスが取得されています。しかしこの数年間、Emotet はスパムメッセージの送信をたびたび休止しています。休止期間は数週間から、場合によっては数ヵ月にわたります。休止期間中はスパムは拡散されませんが、ボットネットは運用されていることが一般的です。そのため、感染済みのシステムは引き続き侵入に利用できます。

組織やネットワーク防御者は、Emotet の脅威を認識した上で、セキュリティ侵害阻止と感染検出の戦略を策定する必要があります。そして、バックアップとリカバリに関しては、検出前にすでに長期にわたってマルウェアが潜んでいる可能性があるということを考慮しなければなりません。

Emotet の SMTP ドメインのシンクホール

インターネットで広く利用されているトップレベルドメイン(TLD)の中には、存在しないドメインやアクティブでないドメインの解決を DNS が試みると、興味深い挙動を示すものがあります。多くの場合、存在しないドメインを特定の IP アドレスに解決するよう設定されているのです。このような TLD のネームサーバは、非アクティブ(特定の IP アドレスに解決するように設定されていない)ドメインの解決要求をインターネット上のクライアントから受け取ると、デフォルトの IP アドレス値を返します。ドメインが無効な場合や、存在しない場合も同様です。Cisco Talos は、Internet Corporation for Assigned Names and Numbers(ICANN)から入手できる公式の TLD リストを利用して、リスト内の TLD に存在しないドメインの名前解決を要求していきました。そして、前述の挙動を示す TLD のリストを作成しました。

下の表は、特定された TLD のリストです。要求されたドメインが存在しない場合や、名前解決が設定されていない場合にネームサーバが返す IP アドレスも記載しています。

DNS がこのような挙動を示すことから、パッシブ DNS(pDNS)などの技術を利用すると、ある時点で有効であったものの、その後は非アクティブになった可能性のあるドメインを特定できます。さらに、インターネット上のさまざまなクライアントから実行される無効なドメインの名前解決要求の量を特定し、追跡できるようになります。この手法は、ドメイン生成アルゴリズム(DGA)に関連するドメインや、コマンドアンドコントロール(C2)などのさまざまなマルウェア運用に用いられていたドメインを洗い出す際に有効です。例として下に示したのは、

以前に Phorpiex に関与していて、その後放棄された C2 ドメインに関する名前解決アクティビティです。攻撃者はこのドメインをもはや管理していませんが、孤立したボットは今なおこのドメインにアクセスし続け、C2 チャネルの確立を試みています。TLD の WS に存在しないドメインの解決については、前述のとおり、デフォルトの IP アドレスが返されます。

孤立したさまざまなドメインの分析を進める中で、DyreNecursStealthWorker などに感染しているシステムが C2 に利用していたドメインを多数発見しました。調査したドメインの多くは、時間ベースの DGA に関連したものであり、特に有用ではありませんでした。その一方で、Emotet に感染したシステムがスパムメッセージのリレーに利用した SMTP サーバと関係のあるドメインをいくつか特定しました。Cisco Talos はこれらのドメインの所有権を取得し、Emotet に感染したシステムからの SMTP 通信のシンクホールとして運用しました。

シンクホールとは、悪意のあるボットネットトラフィックを、所定のソースから無害な宛先へとリダイレクトするプロセスです。この手法によって、毎月何十万通にも及ぶ Emotet メールの様子を捉えることができるようになりました。また、スパムを送信しているシステムの範囲を特定し、それらの地理的構成と業界構成を捉え、Emotet 感染の常態化に悩まされている組織を識別することも可能になりました。

2020 年における Emotet の動向

2020 年初め、Emotet は近年と同程度のペースで、悪意のあるメールを大量に拡散していました。しかしその後、新型コロナウイルスが世界的な広がりを見せ始め、マルウェア拡散者はこの危機に世間の目が集まることに付け入りました。これは Emotet の攻撃者も例外ではありませんでした。最新の出来事をフィッシングやスパムの誘い込みに利用する手口は、特に目新しいものではありません。こちらで詳しく説明しているとおり、さまざまな攻撃者が用いる手法です。

今年前半に見られたように、Emotet は時折、スパムメールの送信を休止します。2020 年 2 月以降、Emotet はスパムの送信を長期にわたって休止しました。数ヵ月の間、観測される Emotet スパムメールは少量にとどまっていたのです。活動が再開されたのは 6 月です。7 月以降は膨大な量のスパムが送信され、断続的な休止を挟みつつ、現在まで活動が続いています。以下のグラフは、2020 年各月の相対的なスパムの量を示しています。

Emotet ボットネットによって生成されたスパムメールの量について、2020 年の週別の内訳を見てみましょう。

Emotet に感染したシステムから送信される電子メールデータを分析したところ、スパム拡散行為やスパムメール自体の特徴を詳細に把握できました。すぐに気づくのは、スパムメッセージが週末にほとんど送信されていないということです。

興味深いことに、ボットネットがスパムを送信するときは、24 時間にわたってばらつきなく送信を続けます。下のグラフは、送信された(Talos が受信した)メッセージの時間帯別の分布を示しています。このグラフを見ると、時間単位でばらつきなくメッセージが送信されていることがわかります。

これらのキャンペーンには、興味深い特徴がいくつかあります。感染したシステムから送信されているメッセージの件名を分析すると、複数の配布キャンペーンで幅広く使用されているキーワードがいくつか判明しました。電子メール全体では、かなりの割合で「invoice」(請求書)がキーワードとして使用されていました。これは、今日のスパムキャンペーンの多くに共通する特徴です。

件名の上位 5 つを見てみると、ミーティングの通知を意味する日本語「会議開催通知」が含まれていることがわかります。通例では西洋言語を使用した件名数が多くなるため、日本語がリストの上位に入ることは予想外でした。全体としては割合は小さいですが、今回のデータ分析で観測された非西洋言語の中で最も多いのは、日本語と韓国語でした。

Emotet メールには、マルウェアのダウンローダとして機能する悪質なファイルが添付されていることがほとんどです。添付ファイルを開いて悪意のあるコンテンツが有効になると、攻撃者の配布インフラストラクチャへアクセスされます。そこから悪意のあるコンテンツがさらにダウンロードされ、標的のシステムで実行されると、マルウェアに感染します。添付ファイルの圧倒的多数は、悪意のある Microsoft Office ドキュメント(DOC、DOCX、XLS、XLSX)を利用したものです。ただし、Emotet スパムについては、ZIP アーカイブや PDF などを利用するものも観測されています。下のグラフは、最近 12 ヵ月間に収集されたテレメトリデータに基づく、ファイルタイプ別の添付ファイルの分布を示しています。

広範囲に拡散されてはいないものの、キャンペーンで確認されたメール添付ファイルには、もうひとつ別のタイプも存在します。パスワードで保護されている暗号化されたファイルです。暗号化されたファイルを利用するキャンペーンは少数ながら観測されていて、通常、傍受されたメールスレッドと組み合わせて利用されています。注目すべき点は、基本的で単純なものではなく、比較的複雑なパスワードが設定されていることです。これは、パスワードで保護された悪意のある添付ファイルにはあまり見受けられない特徴です。

悪意のある添付ファイルの名前の文字数分布を調査したところ、Emotet スパムに関係するファイル名の長さは広い範囲に分散していることがわかります。最も一般的な長さは、18 文字でした(ファイルの拡張子を含む)。

Emotet では、ハイパーリンクを記述した電子メールが使われることもあります。標的ユーザがクリックすると、攻撃者の配布サーバにシステムがアクセスし、実行対象となる悪意のあるコンテンツが取得されます。そして、マルウェアへ感染します。これらの配布サーバで実行されているのは、ほとんどの場合、コンテンツ管理システム(CMS)の WordPress です。WordPress は攻撃者に悪用されることが多く、マルウェアに感染させることを狙った、悪意のあるコンポーネントのホスティングに利用されます。多くの場合、配布に利用されるサーバは旧式のプラグインやテーマなどを実行しているもので、セキュリティ侵害の格好の標的となっています。

感染したシステムの特徴

Emotet は単一の脅威として言及されることが少なくありませんが、実際には複数のボットネットで構成されています。セキュリティ研究者はこのボットネットを「エポック」と呼んでいます。現在は 3 つのエポックが存在し、それぞれが、各種のマルウェア活動を支える個別インフラ(C2 など)を保有しています。Talos は、収集した SMTP シンクホールのデータを分析し、エポック内の感染したシステムを特定しました。このシステムは、Talos が新たに取得したドメインを使用してスパム転送を試みるものです。

感染したシステムの所在地は、200 ヵ国を超えています。これは、Emotet の勢力圏がきわめて広大で、事実上あらゆる国に影響が波及していることを如実に物語るものです。下の地図は、感染したシステムが大量に観測された地域を示しています。

感染したシステムのネットワークプロバイダーについても分析したところ、感染件数の多い ISP が判明しました。下のグラフは、観測されたスパムの送信数が上位の ASN を示しています。

Emotet に感染したシステムの分布は絶えず変化することに注意してください。感染したシステムは、常に増減しています。Cisco Talos は最近 12 ヵ月間のボットネットの分布を分析し、これらの経時的な変化を追跡しました。長期にわたる地理的な分布を時系列に沿って表したものが、下のグラフです。

Emotet はきわめて広い範囲に拡散されていて、さまざまな業界や地域に幅広く影響を及ぼしています。Emotet が関与するアクティビティは 2020 年を通して継続中であり、当面続くものと考えられます。

まとめ

Emotet は常に進化し、世界中の組織に大きなリスクとなっています。感染したシステムは、大量のスパムメールを休まず送信します。このスパムメールは他のシステムに感染を広げ、さまざまな不正行為に使用できる永続的なネットワークアクセスを提供します。Emotet は変化し続けています。組織は常に留意して、感染時に環境が影響を受けないように備える必要があります。多くの場合、Emotet が利用されるのは多段階感染プロセスの初期段階です。他のマルウェアペイロードと組み合わせて利用されます。Emotet は、セキュリティ部門が発見するまで長期にわたって環境に存在するおそれがあります。そのため、インシデント発生前の状態に対応できるよう、包括的なバックアップとリカバリの戦略を策定することが欠かせません。Emotet を利用した手口は今後も多くの利益を生むもので、なくなることは当面なさそうです。Emotet は時間とともに進化することから、Cisco Talos は引き続き注視し、お客様が常に保護されるよう万全を期していきます。

カバレッジ

お客様がこの脅威を検出してブロックするための方法を以下に記載します。

Advanced Malware Protection(AMP)は、記事中で説明したマルウェアの実行を阻止するのに最適です。次のスクリーンショットは、AMP がこの脅威からお客様を保護する様子を示しています。こちらから AMP を無料でお試しいただけます。

Cisco クラウド Web セキュリティ(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。

E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。

次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、および Meraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する悪意のあるアクティビティを検出します。

Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。

Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。

特定の環境および脅威データに対する追加の保護機能は、Firepower Management Center から入手できます。

 

本稿は 2020 年 11 月 18 日に Talos Group のブログに投稿された「Back from vacation: Analyzing Emotet’s activity in 2020」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。