にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

Emoいメモ。 #Emotet

どもどもにゃんたくです(「・ω・)「ガオー

 

ここ数日、ネットメディアニュースなどで『Emotetが活動再開!』という内容の記事を見かけることが増えましたね。

JPCERT/CCからも2020年7月20日に注意喚起が出ています。

www.jpcert.or.jp

 

www.itmedia.co.jp

news.mynavi.jp

 

▼2020年9月4日追記

9月に入ってからパスワード付きのZIPファイルを添付した不審メールも出回るようになりました。ゲートウェイ製品や従来の対策では防げない場合もあるので注意が必要です。

www.jpcert.or.jp

sugitamuchi.hatenablog.com

 

またトレンドマイクロのアンケートを騙りEmotetに感染させるパターンもありますので注意が必要です。

blog.trendmicro.co.jp

sugitamuchi.hatenablog.com

 

Emotetに感染しないためにはどうすれば良いかですが、

基本的には以下3点を行う事が大事です。

・メールに添付されたファイルを開かない

・メール本文に記載されたURLにアクセスしファイルをダウンロードしない

・ファイルのマクロ有効化ボタンを押さない(マクロを有効化しない)

 

しかし、そもそも不審なメールを「怪しい」と気づけないパターンがほとんどです。

特にいつもやり取りしているメールの返信としてEmotetに感染させるメールが届くこともあるので余計にやっかいです。

ですので、メールの文面だけでやり取りが完了しないメールが来た時は警戒する、をまずは心がけるようにしましょう。


さて、ぼくのブログを読んでくださっている方々の大半はセキュリティ業務に就いている方だと思います。ですので、今回のメモはなにかしらの組織に所属しているセキュリティ業務の方々に活用してもらえたらいいなと思ってまとめてみました。

下記にまとめた内容がベストではない、と思ってください。あくまでも『にゃん☆たく』の情報の集め方の方法を書いただけですので誤解のないようよろしくお願いいたします。

 

 

Emotetについての注意喚起

まずはコレだけは絶対に見といて欲しい注意喚起をまとめました。

 

▼JPCERT/CC

マルウエア Emotet の感染に関する注意喚起

マルウエア Emotet の感染活動について

 

▼IPA

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構

 

▼Emotetに対しての対応FAQ(JPCERT/CC)

マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

※個人的にはこのFAQめっちゃ参考になると思っています

 

EmotetのIoC情報を知りたい

EmotetについてのIoC情報(通信先情報、検体情報など)をまとめました。
監視などを行う際に活用してみてください。

 

ANY.RUN

オンラインサンドボックスツールのANY.RUNがまとめてくれている情報です。

https://any.run/malware-trends/emotet

f:id:mkt_eva:20200722172631p:plain

Emotetがどういうマルウェアなのかを英語ですが分かり易く書いてくれています。ついでにIoC情報も見ることができます。

 

https://app.any.run/submissions

f:id:mkt_eva:20200722172651p:plain

ANY.RUNでスキャンされた実ファイルの解析結果を見る事ができます。右上の検索窓にに「Emotet」と入れて検索してみてください。ちなみに解析されたファイルはダウンロードすることもできます。(ので、気をつけてくださいね)

 

Emotetの話題からは逸れますが、このANY.RUNで気をつけてほしいこともあります。そちらの内容については下記ブログを参照してください。

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録

 

URLhaus

abuse.chが悪意のあるURLを共有することを目的として公開してくれているサイトです。

https://urlhaus.abuse.ch/browse/tag/emotet/

f:id:mkt_eva:20200722174155p:plain

URLhausに登録されるEmotetに感染させる悪意のあるURLの推移、URLを確認することができます。
 

https://urlhaus.abuse.ch/api/

f:id:mkt_eva:20200722174757p:plain

URLhausに登録された情報をAPIを使って活用することができます。特に監視ルール等で活用できるのが以下2つです。

※こちらに登録されているものはEmotetに感染させるものだけ載っているわけではないのでご注意下さい。

・Database dump (CSV)
1:URLhaus database dump (CSV) containing recent additions (URLs) only (past 30 days):Download CSV(recent URLs only)

f:id:mkt_eva:20200722174835p:plain

 

2:URLhaus database dump (CSV) containing only online (active) malware URLs:Download CSV(online URLs only)

f:id:mkt_eva:20200722174846p:plain

なお、API経由で情報を得たい場合の手法についてはこちらの資料が役に立ちます。

▼100 more behind cockroaches? or how to hunt IoCs with OSINT

https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_4_ogawa-niseki_jp.pdf

 

Feodo Tracker

Dridex,Emotet,Heodon等に関連するC&Cサーバー等の情報共有を目的とする、abuse.chのプロジェクトです。

Emotet感染では他のマルウェア(Trickbot等)に感染させる挙動があります。

https://feodotracker.abuse.ch/browse/

f:id:mkt_eva:20200729011955p:plain

こちらに登録されているIPへの通信を監視することで『感染したPC』からの通信をキャッチできる可能性があります。感染後という観点で調べる際に活用できると思います。


Cryptolaemus Pastedump

CryptolaemusというEmotetについて調査する有志のグループがまとめてくれているサイトです。通信先、検体のHASH値等を日々更新してくれています。

https://paste.cryptolaemus.com/

f:id:mkt_eva:20200722175333p:plain

 

Pastebin

Pastebin(ペーストビン)でも情報を発信してくれるページがあります。

 

 ねこさん情報ありがとうございます!!!

 

Emotetの情報をTwitterで知りたい

Emotetについての情報を発信してくださるツイッターアカウントをまとめました。フォロー推奨です。

Cryptolaemus@Cryptolaemus1

Joseph Roosen@JRoosen

\_(ʘ_ʘ)_/@pollo290987

Brad@malware_traffic

abuse.ch@abuse_ch

ANY.RUN@anyrun_app

bom@bomccss

S-Owl@Sec_S_Owl

さとっぺ@satontonton

watoly@wato_dn

tike@tiketiketikeke

hiro_@papa_anniekey

sugimu@sugimu_sec

abel@abel1ma

moto_sato@58_158_177_102

 

Emotetの情報をブログ等で知りたい

Emotetについての情報が書いてあるブログ(組織、個人)や記事をまとめました。

流行マルウェア「EMOTET」の内部構造を紐解く | MBSD Blog

Emotet(エモテット)徹底解説!感染すると何が起こる? | wizLanScope

Emotetについて(参考情報) | FireEye Inc

Emotetの再帰的ローダーを解析する - FFRIエンジニアブログ

 

▼個人ブログ

bomccss.hatenablog.jp

bomccss.hatenablog.jp

sugitamuchi.hatenablog.com

sugitamuchi.hatenablog.com

 

malware-log.hatenablog.com

 

piyolog.hatenadiary.jp

 

hash1da1.hatenablog.com

 

techblog.securesky-tech.com

 

以上です。

 

これ以外もあるぞ!という方はぜひTwitter等で教えてくださると幸いです。

ではでは!

<更新履歴>

2020/07/22 PM 公開

2020/07/23 PM 修正(Pastebinの情報を追記)

2020/07/29 AM 修正(URLhausの情報を更新、Feodo Trackerの情報を追記)

2020/07/31 PM 修正(個人ブログに、piyolog、TT Malware Logを追加)

2020/09/04 PM 修正 ブログ前説部分にパスワード付きのZIPファイルを添付してくる、トレンドマイクロを騙る等のEmotet感染メールに関する情報を追記、SSTさんのブログも追記