MITRE ATT&CK視点でEmotet(エモテット)を検出する

PLURA

Emotet(エモテット)マルウェアは2022年下半期に日本で流行し、大きな被害をもたらしました。

韓国でも2022年11月に、Alyacから注意が必要だと発表されています。

主にスパムメールを通じて拡散されています。

detecting-emotet-with-mitre-attck


このような警告や注意喚起があるにもかかわらず、既存のAlyacなどのアンチウイルス製品が検出ルール(Rule)を提供しているにも関わらず、依然として被害が発生しています。


基本的にマクロベースのマルウェアは変更が非常に容易です。

マルウェア制作者は非常に迅速にコードを変更してアンチウイルスの検出を回避できます。


MITRE ATT&CKの観点から回避攻撃を含めた迅速な検出方法を提案します。

1. Emotet(エモテット)マルウェアの基本的な動作原理

1) 実行されたWord(Excel、HWP、PDFなど)のファイルは、バックグラウンドでC&Cサーバーに接続し、マルウェアをダウンロードします。

2) マルウェアは複数のステップを経てトロイの木馬をインストールし、リモートアクセスを可能にするためにハッカーと通信します。


2. MITRE ATT&CKの観点からEmotetを検出する

1) Emotetマルウェアが実行されると、バックグラウンドで外部C&Cサーバーに接続し、ファイルをダウンロードします。

2) マルウェアはPowerShellを呼び出して実行します。この際、コードはBase64エンコードされており、内容を確認するためにデコードが必要です。

このマルウェアが接続するC&Cサーバーのアドレスは、WordPressを利用したサイトが攻撃を受け、そこにマルウェアが隠されています。

見た目は通常のサイトに見える場合、ハッカーはC&Cサーバーとして長期間利用することができます。

- PowerShell[1059.001]
m-2-800x372

攻撃者は実行のためにPowerShellコマンドやスクリプトを悪用する可能性があります。
PowerShellはWindowsオペレーティングシステムに含まれる強力な対話型コマンドラインインターフェースおよびスクリプティング環境です。
攻撃者はPowerShellを使用して情報収集やコード実行を含むさまざまな作業を行うことができます。
例えば、実行可能ファイルを実行するために使用できるStart-Processコマンドレットや、ローカルまたはリモートのコンピューターでコマンドを実行するInvoke-Commandコマンドレットがあります。
(PowerShellを使用してリモートシステムに接続するには管理者権限が必要です)

3) PowerShellを利用してダウンロードされたファイルは一時フォルダ(Temp)に保存され、実行後に削除されるプロセスが進行します。

  • 一時フォルダ Temp\ __PSScriptPolicyTest_krutadkh.taj.ps1 m-6 m-7

4) 外部C&Cサーバーに接続するために生成されたPowerShell用スクリプトを検出します。

このスクリプトには明確にC&CサーバーがWordPressサイトであることが記されています。

  • MITRE ATT&CK検出フィルターID: PowerShell [T1059.001] m-5-1024x295

5) 今回、マルウェアがスケジューラーに登録されます。

m-9-300x86

  • イベントログの詳細

    m-10-273x300

  • XMLビューアで確認

    m-11-225x300

6) 最終的に、マルウェアは対象システムにトロイの木馬をインストールし、リモートで接続可能な状態にします。

  • システム検出フィルター: exeファイル生成 by PowerShell
    PowerShellプロセスによって生成されたexeファイルがログに記録されます。 m-3

7) マトリックスを使用して、攻撃がどの段階で進行しているかを一目で確認できます。

m-4-800x450


MITRE ATT&CKフレームワークの利点は、従来のマルウェア検出方式を一歩進化させ、マルウェアの動作をモニタリングすることで、回避攻撃を含む広範囲の検出が可能である点です。

参考サイト

  1. Wikipedia, https://en.wikipedia.org/wiki/Emotet

  2. Alyac, https://blog.alyac.co.kr/4971

Tags