Emotet 活動再開、らしい

マルウェア「Emotet」の感染につながる不審なメールが再び出回ったとして、IPAが注意喚起

  <https://internet.watch.impress.co.jp/docs/news/1367367.html>

 

Emotet について分かり易く書かれたサイトをまとめました。

また、VMware Carbon Black による防御についても触れたいと思います。

 

  1. どのようにEmotedに感染するか

itmediaの記事が分かり易いです。

LAC社が情報を提供しています。

https://www.itmedia.co.jp/news/articles/2111/22/news107.html

 

Microsoft Officeのマクロ、メール本文や添付ファイルからの URL アクセスによりEmotet がパソコンに入ることが分かります。

 

  1. Emotedに感染するとどのような振舞いをするか

Canon社のサイトに書かれています。

https://eset-info.canon-its.jp/malware_info/special/detail/210422.html

・データを外部に漏らす

・Emotet に感染した端末から他のマルウェアを媒介して被害を拡大する

 

3.Carbon Black を使った対処法

VMware Carbon Black の Community site に投稿がありました。

・Emotet prevention には3つの記事がリンクされています。

  <https://community.carbonblack.com/t5/Endpoint-Standard-Discussions/Emotet-prevention/m-p/59642/thread-id/4172>

 

3-1 TAU-TIN - Emotet Variant 

Carbon Black 製品を用いた防御方法の概要。

CB Defense (現在の正式名称はCarbon Black Cloud Endpoint Standard)では、レピュテーションによる保護が有効と書かれています

CB Protection (現在の正式名称はCarbon Black AppControl)では防御レベルをHigh, Mediumに上げて対応するとあります。

また、CB Response (現在の正式名称はCarbon Black EDR)ではハッシュ、C&CサーバのIPアドレスが書かれています。

※ 2018年の情報につき、ハッシュ、IPアドレスは現時点で有効ではない可能性があります。

 

3-2 TAU-TIN - Malicious Document/Downloader

こちらにより詳しい、具体的な手順が書かれています。

CB Defenseのレピュテーションの設定方法、CB Protection で定義すべきルールのサンプル、CB Response での Search query と、より多くのハッシュが書かれています。

ただし、こちらも情報が古いことに注意下さい。

 

3-3 TAU-TIN New Word Macro Campaign

Word Macro に対する防御方法があります。

 

 

  1. Malware Bazzar

https://bazaar.abuse.ch/browse/tag/Emotet/

Emotet のハッシュリストが更新されています。

数多くの型があります。

 

  1. Malware URLs

https://urlhaus.abuse.ch/browse/tag/emotet/

こちらはURLのリスト。

 

  1. Emocheck

JPCERTCC/EmoCheck

Emotet を検出するツールです。

感染疑いのある端末で実行することにより、感染有無を判別できます。

作成者に感謝いたします。

 

  1. まとめ

Emotet 対策をするには。

・Carbon Black 社製品を使っている場合、3-1を見ていただいてから 3-2, 3-3 を参照して対策を行います。

ハッシュは古いものなので、4を参照いただくのがよいでしょう。

Live Response で被疑端末にEmocheckを送り、実行することもできます。

 

別のEDR製品を使われている場合は、各製品のサポートサイトをご覧ください。

 

Emocheckは誰もが利用いただけます。

 

本日はここまでとなります。