Emoいメモ。 #Emotet
どもどもにゃんたくです(「・ω・)「ガオー
ここ数日、ネットメディアニュースなどで『Emotetが活動再開!』という内容の記事を見かけることが増えましたね。
JPCERT/CCからも2020年7月20日に注意喚起が出ています。
▼2020年9月4日追記
9月に入ってからパスワード付きのZIPファイルを添付した不審メールも出回るようになりました。ゲートウェイ製品や従来の対策では防げない場合もあるので注意が必要です。
またトレンドマイクロのアンケートを騙りEmotetに感染させるパターンもありますので注意が必要です。
Emotetに感染しないためにはどうすれば良いかですが、
基本的には以下3点を行う事が大事です。
・メールに添付されたファイルを開かない
・メール本文に記載されたURLにアクセスしファイルをダウンロードしない
・ファイルのマクロ有効化ボタンを押さない(マクロを有効化しない)
しかし、そもそも不審なメールを「怪しい」と気づけないパターンがほとんどです。
特にいつもやり取りしているメールの返信としてEmotetに感染させるメールが届くこともあるので余計にやっかいです。
ですので、メールの文面だけでやり取りが完了しないメールが来た時は警戒する、をまずは心がけるようにしましょう。
さて、ぼくのブログを読んでくださっている方々の大半はセキュリティ業務に就いている方だと思います。ですので、今回のメモはなにかしらの組織に所属しているセキュリティ業務の方々に活用してもらえたらいいなと思ってまとめてみました。
下記にまとめた内容がベストではない、と思ってください。あくまでも『にゃん☆たく』の情報の集め方の方法を書いただけですので誤解のないようよろしくお願いいたします。
Emotetについての注意喚起
まずはコレだけは絶対に見といて欲しい注意喚起をまとめました。
▼JPCERT/CC
▼IPA
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構
▼Emotetに対しての対応FAQ(JPCERT/CC)
マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
※個人的にはこのFAQめっちゃ参考になると思っています
EmotetのIoC情報を知りたい
EmotetについてのIoC情報(通信先情報、検体情報など)をまとめました。
監視などを行う際に活用してみてください。
ANY.RUN
オンラインサンドボックスツールのANY.RUNがまとめてくれている情報です。
①https://any.run/malware-trends/emotet
Emotetがどういうマルウェアなのかを英語ですが分かり易く書いてくれています。ついでにIoC情報も見ることができます。
②https://app.any.run/submissions
ANY.RUNでスキャンされた実ファイルの解析結果を見る事ができます。右上の検索窓にに「Emotet」と入れて検索してみてください。ちなみに解析されたファイルはダウンロードすることもできます。(ので、気をつけてくださいね)
Emotetの話題からは逸れますが、このANY.RUNで気をつけてほしいこともあります。そちらの内容については下記ブログを参照してください。
VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録
URLhaus
abuse.chが悪意のあるURLを共有することを目的として公開してくれているサイトです。
①https://urlhaus.abuse.ch/browse/tag/emotet/
URLhausに登録されるEmotetに感染させる悪意のあるURLの推移、URLを確認することができます。
②https://urlhaus.abuse.ch/api/
URLhausに登録された情報をAPIを使って活用することができます。特に監視ルール等で活用できるのが以下2つです。
※こちらに登録されているものはEmotetに感染させるものだけ載っているわけではないのでご注意下さい。
・Database dump (CSV)
1:URLhaus database dump (CSV) containing recent additions (URLs) only (past 30 days):Download CSV(recent URLs only)
2:URLhaus database dump (CSV) containing only online (active) malware URLs:Download CSV(online URLs only)
なお、API経由で情報を得たい場合の手法についてはこちらの資料が役に立ちます。
▼100 more behind cockroaches? or how to hunt IoCs with OSINT
https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_4_ogawa-niseki_jp.pdf
Feodo Tracker
Dridex,Emotet,Heodon等に関連するC&Cサーバー等の情報共有を目的とする、abuse.chのプロジェクトです。
Emotet感染では他のマルウェア(Trickbot等)に感染させる挙動があります。
https://feodotracker.abuse.ch/browse/
こちらに登録されているIPへの通信を監視することで『感染したPC』からの通信をキャッチできる可能性があります。感染後という観点で調べる際に活用できると思います。
Cryptolaemus Pastedump
CryptolaemusというEmotetについて調査する有志のグループがまとめてくれているサイトです。通信先、検体のHASH値等を日々更新してくれています。
https://paste.cryptolaemus.com/
Pastebin
Pastebin(ペーストビン)でも情報を発信してくれるページがあります。
Pastebinだとこの辺り。
— ねこさん⚡🔜Ͷow or Ͷever🔙(ΦωΦ) (@catnap707) 2020年7月22日
Emf1123's Pastebin - https://t.co/wBNyYug1KT https://t.co/8bUEWr6c4o
Paladin316's Pastebin - https://t.co/wBNyYug1KT https://t.co/Mnuu9QpWL6
Jroosen's Pastebin - https://t.co/wBNyYug1KT https://t.co/sm4rr5GST9
ねこさん情報ありがとうございます!!!
Emotetの情報をTwitterで知りたい
Emotetについての情報を発信してくださるツイッターアカウントをまとめました。フォロー推奨です。
Emotetの情報をブログ等で知りたい
Emotetについての情報が書いてあるブログ(組織、個人)や記事をまとめました。
流行マルウェア「EMOTET」の内部構造を紐解く | MBSD Blog
Emotet(エモテット)徹底解説!感染すると何が起こる? | wizLanScope
Emotetについて(参考情報) | FireEye Inc
Emotetの再帰的ローダーを解析する - FFRIエンジニアブログ
▼個人ブログ
以上です。
これ以外もあるぞ!という方はぜひTwitter等で教えてくださると幸いです。
ではでは!
<更新履歴>
2020/07/22 PM 公開
2020/07/23 PM 修正(Pastebinの情報を追記)
2020/07/29 AM 修正(URLhausの情報を更新、Feodo Trackerの情報を追記)
2020/07/31 PM 修正(個人ブログに、piyolog、TT Malware Logを追加)
2020/09/04 PM 修正 ブログ前説部分にパスワード付きのZIPファイルを添付してくる、トレンドマイクロを騙る等のEmotet感染メールに関する情報を追記、SSTさんのブログも追記