エンドポイントへの Dridex マルウェア感染拡大を目的とした Emotet

2017.08.28

最終更新 8 月 11 日 (7:30 a.m. ET): Emotet で注目すべきは、感染先のシステムに多種多様なマルウェアをペイロードとしてドロップしていく点です。これまでのところ、Emotet に感染したシステムにドロップされたマルウェアには、次のものが含まれます。


  • ・Troj/Agent-*
  • ・Mal/EncPk-ACW
  • ・Troj/inject
  • ・Troj/injecto
  • ・Troj/Wonton
  • ・Mal/Slenfbot-G

しかし、最も拡散しているペイロードは Dridex であり、ソフォスのグローバルマルウェアエスカレーション担当マネージャー Peter Mackenzie は、Emotet の作成者の最大の目標はできるだけ多くのエンドポイントに Dridex をドロップすることだと考えています。Macenzie は次のように述べています。


これは地雷を搭載したクラスター爆弾を標的に投下するのと同じことです。誰かの不注意が原因でいくつかの地雷は即座に爆発するかもしれませんが、ほとんどの地雷は安全に除去されます。ただし、チェックをし忘れた場所に残されていた地雷を、数年後に不運な人が踏んでしまう可能性があります。


検出されたほとんどのケースで、よくあるアカウント名と推測されやすいパスワードの組み合わせが使用されていたという事実は、そうしたパスワードの危険性を証明していると言えます。特に、アカウントに管理者権限が付与されている場合、その損害は深刻です。


本記事は新たな情報が明らかになり次第、更新される予定です。


***


ネットワークワームやトロイの木馬型マルウェアがすさまじい勢いで復活してきています。その代表例が 5 月に世界中で数十万台のコンピュータに感染した WannaCry です。そして今回の Emotet は、脆弱な管理パスワードを悪用してネットワーク内で拡散するワームとトロイの木馬の特徴を持ったマルウェアです。


SophosLabs はこの 1 週間 Emotet のケースが急増していることを確認し、お客様のコンピュータから Emotet をブロックしています。Emotet のペイロードは、ユーザーのオンラインバンキング情報を盗むことを目的としたトロイの木馬の一種です。SophosLabs の研究者 Tad Heppner は次のように説明しています。


Emotet はトロイの木馬ですが、ワームに分類できる機能も搭載しています。主な違いは、トロイの木馬は感染を拡大させるのにある程度のソーシャルエンジニアリングが必要であるのに対し、ワームはユーザーの助けなしに他のシステムに感染できる点です。
Emotet は、他のペイロードをダウンロードして実行します。したがって、Emotet のコアコンポーネントはワームそのものではありませんが、別のコンポーネントをダウンロード、実行して、他のシステムに拡散する可能性があります。


仕組み


最初の感染はスパムメールを介して拡散されます。イベントの流れは次のようになります。


  • ・ダウンロードリンクを含むスパムメールが受信トレイに届けられます。
  • ・このダウンロードリンクは Microsoft Word ドキュメントを指しています。
  • ・ダウンロードしたドキュメントには、PowerShell スクリプトをデコードして起動する VBA コードが含まれています。
  • ・Powershell スクリプトは続いて、複数の URL ソースから Emotet をダウンロードして実行しようとします。

Emotet のコンポーネントは、推測しやすい一般的なパスワードのディクショナリとバンドルされた自己解凍型の WinRAR アーカイブに内蔵されています。(注: WinRAR は Windows のファイル圧縮ツールです。)


パスワードディクショナリは、ネットワークシステムへのアクセスに使用されます。アクセス権を取得した後は、非表示共有の C$ または Admin$ に自身をコピーします。このコピーには my.exe というファイル名が付けられることがよくありますが、別のファイル名も使用されています。


Emotet には文字列リストが埋め込まれており、Emotet は最初の感染時に使用するファイル名と結合させる 2 つの単語をこのリストから選択します。選択された文字列は、ハードディスクのボリューム ID を使用してシードされます。その結果、感染したすべてのシステムにおいて、同じハードディスクであれば、ファイル名は常に同じになります。


また Emotet は、自身の最新版と他のモジュールの最新版をダウンロードするための自己更新コンポーネントもダウンロードします。このコンポーネントは、8 桁の 16 進数で構成される %windows%\.exe というファイル名で保存されます。


このコンポーネントがダウンロードする他のモジュールの一部は、他のアプリケーションから認証情報を収集する、あるいは標的型スパム用として Outlook PST ファイルから電子メールアドレスを収集するために使用されます。


アップデートコンポーネントが Emotet の主要コンポーネントを更新すると、先ほど選択したのと同じ文字列で構成される同じファイル名を使用して親ファイルが置き換えられます。その後、更新された exe ファイル を Windows サービスとしてインストールし、実行します。


Emotet に感染したマシンでは、Dridex と Qbot の感染も発見されています。他のペイロードをダウンロードして実行する Emotet の機能が、現在では特定の地域を標的にしたペイロードの展開に使用されている可能性があります。


対策


この攻撃者は、ソフォスが検出したことに反応して、Emotet の更新機能を活用した新たな亜種を作成しました。また、ペイロードのダウンロード元の IP アドレスも変更しています。


しかし、ソフォスは引き続きお客様をこの脅威から保護しており、検出した亜種の完全な詳細を記したSophos is protecting customers from the threat and has created a ナレッジベースの記事を作成しました。


SophosLabs は Emotet のコンポーネントを次のように検出します。


  • ・Mal/Emotet
  • ・HPmal/Emotet
  • ・Troj/EmotMem-A

Microsoft の脆弱性を悪用するマルウェアからコンピュータを保護するには、次の対策を行ってください。


  • ・公開されるすべてのパッチを常に把握し、速やかに適用してください。
  • ・可能であれば、古い Windows システムを最新のバージョンに置き換えてください。

その他のアドバイス


  • ・Word ドキュメントが添付された電子メールを受信したが送信者が分からない場合は、開かないでください。
  • ・Office ドキュメントのマクロをブロックしてください。


  • ・ネットワーク内でのファイル共有を禁止してください。


  • ・ユーザーがデフォルト設定で管理者権限を付与されていないことを確認してください。


  • ・パスワードに関するベストプラクティスを実践してください。


  • ・オンアクセススキャナを搭載したウイルス対策製品 (別名: リアルタイムプロテクション) を使用してください。


  • ・電子メールのゲートウェイの設定を厳しくすることを検討してください。


  • ・電子メールやドキュメントに書かれているからといって、セキュリティ機能を無効にしないでください。


引用元

おすすめの記事はこちら