EMOTET検知フィルター
PLURA
Emotet(エモテット)は、クレジットカード情報などを個人から盗むバンキング型トロイの木馬ウイルスです。
2014年から活動を開始し、数年間で大きく進化し、企業ネットワークに侵入し他のマルウェアタイプを拡散させる重大な脅威となっています。米国国土安全保障省(DHS)は2018年7月にEmotetに関する警告を発し、「主に他のバンキング型トロイの木馬ウイルスのダウンローダーまたはドロッパー(Dropper)として機能する進化したモジュール型バンキングトロイの木馬ウイルス」と説明し、除去が非常に困難で一般的なシグネチャベースの検出を回避し、自ら拡散すると警告しました。
この警告では「Emotet感染により、州政府や地方自治体は1件あたり最大100万ドルの解決費用が発生した」と説明されています。
EMOTET検知フィルター
1. EMOTETファイル収集
- Excel添付ファイルを通じて拡散されることが一般的です。
- 収集されたExcelファイルを確認(Virustotal)
[図1] 分析対象のExcelファイルに関するVirustotalの結果
2. EMOTETファイルの実行
- 感染したExcelファイルを実行後、「コンテンツを有効にする」ボタンをクリックするよう誘導するメッセージを確認できます。
[図2] マクロ許可誘導メッセージ
2-1. PLURA検知フィルター
- フィルター名:コンテンツ使用
[図3] フィルター名:コンテンツ使用検知ログ
- フィルター名:Excelショートカット作成
[図4] フィルター名:Excelショートカット検知ログ
3. 隠しシート解除
- 隠しシートをすべて「非表示解除」処理します。
- 6つのシートすべてを「シート保護解除」処理します。
[図5] シート非表示解除およびシート保護解除
4. マクロ項目適用
- マクロボックスで「Auto_Open0.」を選択します。
- 「Sheet6」の「G列」を非表示解除します。
[図6] マクロ許可
5. セル数式
- 非表示解除後、「G列」のセル数式です。
[図7] G列の隠されていたセル数式
6. 「コンテンツを有効にする」ボタンのクリック(感染進行)
- 「コンテンツを有効にする」ボタンをクリックすると、順次コマンドが実行されます。
- C:\Windows\System32にDLL形式でEmotetファイルをダウンロードします。
- ダウンロードされたファイルはregsrv32.exeを使用してDLLファイルを実行します。
- 実行されたEmotetファイルはC&Cサーバーを通じて追加コマンドを受け取り、情報盗取などの悪意ある行為を実行します。
[図8] G列の攻撃コマンド群
6-1. PLURA検知フィルター
フィルター名:Emotet DLLマルウェア実行 (1)
フィルター名:Emotet DLLマルウェア実行 (2)
フィルター名:Emotet DLLマルウェア実行 (3)
フィルター名:Emotet DLLマルウェア実行 (4)
[図9] フィルター名:Emotet DLLマルウェア実行 (1~4)
6-2. PLURA相関分析検知フィルター
- 相関分析検知フィルターを通じて「正検出率」を向上させることができます。
[図10] 相関分析フィルター名:Emotet
7. C&C
- aldina[.]jp/wp-admin/YvD46yh/
- alliance-habitat[.]com/cache/lE8/
- anguklaw[.]com/microsoft-clearscript/oVgMlzJ61/
- andorsat[.]com/css/5xdvDtgW0H4SrZokxM/
8. IOC
- SHA256 : 76323e3a53815b76193d22984da10a9d492d934d49a611fd541e7a78a88cf3c9