Emotet 活動再開、らしい
マルウェア「Emotet」の感染につながる不審なメールが再び出回ったとして、IPAが注意喚起
<https://internet.watch.impress.co.jp/docs/news/1367367.html>
Emotet について分かり易く書かれたサイトをまとめました。
また、VMware Carbon Black による防御についても触れたいと思います。
- どのようにEmotedに感染するか
itmediaの記事が分かり易いです。
LAC社が情報を提供しています。
https://www.itmedia.co.jp/news/articles/2111/22/news107.html
Microsoft Officeのマクロ、メール本文や添付ファイルからの URL アクセスによりEmotet がパソコンに入ることが分かります。
- Emotedに感染するとどのような振舞いをするか
Canon社のサイトに書かれています。
https://eset-info.canon-its.jp/malware_info/special/detail/210422.html
・データを外部に漏らす
・Emotet に感染した端末から他のマルウェアを媒介して被害を拡大する
3.Carbon Black を使った対処法
VMware Carbon Black の Community site に投稿がありました。
・Emotet prevention には3つの記事がリンクされています。
Carbon Black 製品を用いた防御方法の概要。
CB Defense (現在の正式名称はCarbon Black Cloud Endpoint Standard)では、レピュテーションによる保護が有効と書かれています
CB Protection (現在の正式名称はCarbon Black AppControl)では防御レベルをHigh, Mediumに上げて対応するとあります。
また、CB Response (現在の正式名称はCarbon Black EDR)ではハッシュ、C&CサーバのIPアドレスが書かれています。
※ 2018年の情報につき、ハッシュ、IPアドレスは現時点で有効ではない可能性があります。
3-2 TAU-TIN - Malicious Document/Downloader
こちらにより詳しい、具体的な手順が書かれています。
CB Defenseのレピュテーションの設定方法、CB Protection で定義すべきルールのサンプル、CB Response での Search query と、より多くのハッシュが書かれています。
ただし、こちらも情報が古いことに注意下さい。
3-3 TAU-TIN New Word Macro Campaign
Word Macro に対する防御方法があります。
- Malware Bazzar
https://bazaar.abuse.ch/browse/tag/Emotet/
Emotet のハッシュリストが更新されています。
数多くの型があります。
- Malware URLs
https://urlhaus.abuse.ch/browse/tag/emotet/
こちらはURLのリスト。
- Emocheck
Emotet を検出するツールです。
感染疑いのある端末で実行することにより、感染有無を判別できます。
作成者に感謝いたします。
- まとめ
Emotet 対策をするには。
・Carbon Black 社製品を使っている場合、3-1を見ていただいてから 3-2, 3-3 を参照して対策を行います。
ハッシュは古いものなので、4を参照いただくのがよいでしょう。
Live Response で被疑端末にEmocheckを送り、実行することもできます。
別のEDR製品を使われている場合は、各製品のサポートサイトをご覧ください。
Emocheckは誰もが利用いただけます。
本日はここまでとなります。