概要
Emotetは、現在最も一般的なマルウェアであると同時に、最も破壊的で修復コストが高いマルウェアと考えられている(1)。主に、悪意のあるリンクや感染したドキュメントを含むフィッシングメールを通じて拡散する。被害者がファイルをダウンロードするかリンクをクリックすると、追加のマルウェアが自動的に被害者のデバイスにダウンロードされ、企業ネットワーク内で増殖します。
2021年1月、国際的な法執行機関や司法当局のおかげで大規模な摘発が行われたにもかかわらず(1)、Emotetはさらに巧妙な手口でマルウェアを蔓延させ、繁栄を続けている。その手口の1つは、前回のブログで分析した、被害者のデバイス上にEmotetペイロードをダウンロードするためのPowerShellコマンドを含むWindowsショートカットファイル(.LNK)を利用するものです。脅威の作成者は、マイクロソフトが開始したVBA保護に対応して、このような適応を行いました。
2022年4月、zip圧縮された.LNKファイルを悪用する新たなEmotetキャンペーンが野放し状態で発見されました。このブログでは、このベクターを分析し、OPSWAT MetaDefender を使用してこの種のマルウェアを防止する方法を紹介します。
エモテ感染チェーン
Emotetボットネットのオペレータは、ショートカットリンクファイル(.LNK)が埋め込まれたパスワードで保護された悪意のあるZIPファイルを含むスパムメールで攻撃を開始します。ショートカットファイルは見分けがつきにくいため、悪用されます。このファイルは、アイコンの付いたドキュメントファイルとして偽装されており、Windowsのデフォルトでは拡張子は表示されません。
被害者がzipファイルを解凍し、.LNKファイルを実行した直後、有害なMicrosoft VBScript(Visual Basic Script)が被害者のデバイスの一時フォルダにドロップされる。
ドロップされた VBScript は実行され、リモートサーバーから Emotet ペイロードをダウンロードします。バイナリがダウンロードされると、ファイルを Windows の一時ディレクトリに保存し、regsvr32.exe を使用して実行します。感染すると、Emotet は自身を複製してネットワーク内の他のコンピュータに拡散します。
Emotetと同様の高度な攻撃を防ぐには
世界中の政府機関やサイバーセキュリティの専門家からは、ユーザーが巧妙なEmotetキャンペーンを認識し、防御するのに役立つ、以下のような多くの勧告やガイダンスが出されている(2):
- 怪しげなメールの添付ファイルを開いたり、メール本文にある不審なリンクをクリックしたりしないでください。
- 不審な電子メールのリンクや添付ファイルを識別できるよう、従業員に十分な訓練を受けさせる。
- OS、アプリケーション、セキュリティソフトを常に最新の状態に保つ。
OPSWATのソリューションを活用すれば、Emotetをはじめとする高度な回避型脅威から組織を包括的に保護することが容易になります。 OPSWAT Email Gateway Security と OPSWAT MetaDefender Core。市場をリードするDeep CDR™テクノロジー(コンテンツ無害化と再構築)により、ファイル内に潜む既知および未知の脅威を無力化します。ゼロトラストの理念に基づき、ネットワークに流入する全ファイルを悪意あるものと見なし、ユーザーに届く前にスキャン、無害化、再構築を実施します。ファイル内に隠された全てのアクティブコンテンツを無力化または除去し、組織に脅威のない環境を保証します。
現在のEmotetの脅威は次のように防止されている:
1.OPSWAT Email Gateway Security パスワードで保護された添付ファイルを隔離します。
2.添付ファイルをダウンロードするには、受信者は隔離されたシステムにファイルのパスワードを提供する必要があります。
3.MetaDefender Core Metascanと呼ばれるマルチスキャンソリューションで既知のマルウェアをスキャンします。以下に示すように、11/16のエンジンが脅威の検出に成功しました。
4. Core 添付ファイルをCore 、Deep CDR™ Technologyエンジンを用いてすべてのネストされたファイルを再帰的にサニタイズします。以下の結果は、オブジェクトが検出され削除されたことを示しています。
消毒処理中、Deep CDR™テクノロジーは.LNKファイルの悪意あるコマンドをdummy.txtに置き換え、脅威を無力化しました。
5.Email Gateway Security は、脅威のない添付ファイル付き電子メールをユーザーにリリースする。以下は、サニタイズ後のファイルのスキャン結果である。脅威は検出されませんでした。
6.ユーザーは添付ファイルを自分のマシンで解凍し、安全上の問題を心配することなくLNKファイルを生成できる。ユーザーがLNKファイルを開いたとしても、LNKファイルの悪意のあるコマンドが置き換えられているため、マルウェアがダウンロードされることはありません。
Deep CDR™テクノロジーの詳細をご覧ください。または、危険で複雑なサイバー攻撃から企業ネットワークとユーザーを保護する最適なセキュリティソリューションについて、当社までお問い合わせください。
参考
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
- Deep CDR™テクノロジー ,
- MetaDefender Core
