bomb_log

セキュリティに関するbom

マルウェアEmotetの活動再開(2020/07/17-)

2019年より日本に向けても活動を行っているマルウェアEmotet (エモテット) (2020/02/07以降活動休止) が2020/07/17より約5ヶ月ぶりに活動を再開しました。

 

※Emotetは休止以前と基本的な挙動は変わっていません。以下の記事の内容は有効です。

マルウェアEmotetについて

・Emotet感染時の対応

 

■活動再開とは

活動再開、というのは何を意味しているかというと「Emotetに感染した端末がEmotetに感染させるようなメールの送信を再開した」ということです。


2020/02/07以降もEmotetは感染した端末上でC2と通信を行い、Emotet自身のバイナリの更新などを行っていました。
しかし、メールの送信活動は2/7以降確認されていませんでした。
今回、メール送信活動が確認されたため、Emotetの活動再開、といわれています。

 

最初に確認したのはSpamhausです。

国際的なEmotet対策の有志のチームである @Cryptolaemus1 もすぐに確認しています。

 日本時間2020/7/17 23時(1400 UTC)頃からメール配信が始まったようです。Emotetの3つあるbotグループのうち、メインであるE2からはじまり、その後にE3,E1もメール配信が始まり全てのbotグループでメール配信が始まっています。その後7/18 7時(2200 UTC)頃まで続いたようです。

 

なお、活動休止中に何をしていたかというと、Emotetのバージョンアップを画策していたのではないか、と言われています。休止の直前にEmotetの実行ファイルの大きなバージョンアップがあり、これが意図した通り動いていないのでは、という憶測もありました。実際、幾つかテスト的な動きや変更は見れたものの、予想されたように大きくバージョンアップされることはなかったようです。

 

■変更点

2/7以前と比較して、以下の点が変わっています。

  • デコイファイル(docファイル)の見た目

メールの添付ファイルまたはメール内のリンクからダウンロードされるファイルの中身の表示内容が新しくなっています。

f:id:bomccss:20200720163619j:plain

  • 感染ファイルのハッシュのユニーク化

 端末がEmotetの実行ファイルに感染後、C2からファイルが更新される際にバイナリの一部が書き換えられ、端末ごとにハッシュが異なるハッシュに書き換えられるような処理が加わっています。
 以前から言われていますが、hashの一致による検出というのはEmotetに対しても無意味です。

  • (正確には2/6からの変更点)Emotetの感染後のファイル名と永続化の設定の変化

 Emotetは端末に感染後、ファイル名を変えます。変更後のファイル名は2020/1ではハードコードされたリストの中から選択する形でしたが、現在は端末のC:\Windows\system32\フォルダにあるexeまたはdllのファイル名を選択するようになりました。
 また、以前は変更後のファイル名を特定のレジストリ(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\配下)に書き込んでおり、これを調査することでEmotet感染有無を調べることが可能でしたが、現在ではこの設定は使われなくなり、感染の度に上記のフォルダ内にあるファイル名から選択され直します。

 これにより、Emotet感染有無を確認可能なツールであったJPCERT/CCの「EmoCheck」はすり抜けられてしまいます。

 

■変わっていない点

  • 感染手法

メールの添付ファイルまたはメール内のリンクからダウンロードされる.docファイルのマクロを有効化することで感染に至ることは変わりません。
感染しないためにはファイルを開かない、マクロを有効化しないことが重要な対策となります。

  • PoserShellによる実行ファイル取得

docファイルのマクロを有効化するとPowerShellが実行され、外部サイトへアクセスしEmotetの実行ファイルを取得してくることも変わりありません。 

f:id:bomccss:20200722014402j:plain

PowerShellの引数から通信先を取得するには以下のツールで可能です。

CyberChef レシピ実装済URL
https://gchq.github.io/CyberChef/#recipe=From_Base64('A-Za-z0-9%2B/%3D',true)Decode_text('UTF-16LE%20(1200)')Split('%5C'','%5C%5Cn')Split('*','%5C%5Cn')Extract_URLs(false)Defang_URL(true,true,false,'Valid%20domains%20and%20full%20URLs') 

 インターネットへのPowerShellによるアクセスをWindowsFirewallなどで制限することでも感染を防ぐことが可能です。

  • 返信型メールとばらまき型メール

メールの本文は幾つかのテンプレートの中から選ばれるばらまき型メールと過去の正規メールの本文を窃取して会話している相手にメールを送る返信型メールがあります。
再開後のメールでも、既に同じようにどちらのパターンも確認されています。

 

■日本への影響

既に、日本でもEmotetに感染するメールの受信を確認しています。

また、国内のメールサーバ/メールアカウントを利用してメールを送信されることも確認しています。以前より国内外のリサーチャーらと協力し、そういったアドレスを収集し可能な範囲で被害者へ連絡を入れています。今回は活動再開後の数時間で20以上のアドレスが共有されました。(被害者には通知済です。)

f:id:bomccss:20200722020048j:plain

これらのアドレスがどうやってEmotetに窃取されてしまったのかというと、2月以降も継続的にEmotetに感染したままだったと考えられます。(Emotetは一度感染した後も定期的に自身を更新し続けるため、アンチウイルスソフトにより検知・駆除することが困難です。)

Emotetは6月以降にメール情報を窃取するモジュールを感染端末で使用し始めていました。その時にメールアカウント情報が盗まれてしまい、メール拡散の基盤として悪用されてしまったのだと考えられます。
観測されている返信型メールでは、6月や7月に送受信したメールを悪用されているケースもあり、これも同じモジュールによるものと考えられます。

Emotetの攻撃者グループも活動再開をする準備を行った上で活動再開しているということが考えられます。


■活動再開後の動き

2020/07/17(金)に活動再開後、翌営業日の2020/07/20(月)の同じく23時頃より、再度Emotetに感染させるメールの送信活動を再開しました。

 E1, E2が動いた1時間後からE3も動き出しました。金曜日はテストなのか以前に比べて配信ボリュームも小さかったですが、月曜日はより大きな配信量となっていました。

 また、7/20(月)よりEmotetが他のマルウェアに二次感染させるようになりました。休止以前より活発に感染させていたTrickbotです。
TrickbotはGtagがmor113でした。過去2/7の時点ではmor93であり、休みの5ヶ月の間にも恐らくはEmotetからTrickbotへの二次感染は行われ続けていた(検知回避を目的としてTrickbotもEmotetによって約20回(約週1回)更新されていた)のだと考えられます。

二次感染するマルウェアは7/21 午後にはQbot (Qakbot) に変更されました。

 配信手法にも変化があり、docの添付ファイルとメール本文のリンクからのdocファイルだけでなく、7/21には添付したpdfファイルに含まれるリンクからdocファイルへ誘導するタイプが出ました。

メール配信で使用されるテンプレートの言語も、始めは英語だけだったものが、 スペイン語、フランス語、ポルトガル語、と日々増えています。

<2020/07/23追記>
2020/07/23 8:30頃より、日本語の件名、本文、添付ファイルのEmotetに感染するメールが確認されました。

  休止前に使われていたテンプレートが再度利用されるようになりました。以前の件名と添付ファイル名のパターンはこのようになりますが、今回も同様に以下のものが観測されています。

f:id:bomccss:20200723121306j:plain

参考に活動休止前に確認されていた件名と添付ファイルは以下になります。

f:id:bomccss:20200801184950j:plain



■今後の動き

総じて、Emotetは活動を再開した、と言って良いと考えられます。
これは、メール送信を再開した、ということだけではなく、サイバー犯罪グループとして利益を最大限巻き上げるための活動を再開した、という意味です。
そしてそのための攻撃活動は徐々に勢いを増していく、と考えられます。

Emotetは自身に感染させることでメール配信基盤を構築し、更に感染数を増加させます。5ヶ月の休止期間で多少は減ったであろう感染端末を再び取り戻すために感染数を増加させることに力を入れると考えられます。

それと同時に、メールを窃取することで、メールから文書を学習していこうとしているように感じられます。学習が終わった言語から、テンプレートが増えていくのではないかと考えられます。


1つ不思議な点として、活動再開後のメールテンプレートが非常に簡素なことです。返信型であれ、ばらまき型であれ、短くて種類も少ないです。活動休止前にはあんなにも巧妙なメールテンプレートを使っていたにも関わらず、それを再利用している気配がありません。
もしかしたら、EmotetのC2のメール情報を蓄えていたDB(で表現が正しいかは不明ですが)が意図的かは不明ですが初期化されたのかもしれません。それにより、イチからメール情報を学習し直しているのかもしれません。
もしそうであれば、日本語を学習されないためにも感染端末を増やさない、減らしていくことが重要です。

 

<2020/07/23追記>
Emotetの活動再開後、日本語のメールが使われる前から、感染端末と見られる数は日々増加しています。

そして、日本を明確に標的としたEmotetに感染するメールが確認されました。日本も標的としてますます感染端末数が増えてしまうことが懸念されます。

既に同じ組織内でEmotetに感染するメールを送りあって組織内の感染が増えてしまっているとみられるものも出てきています。

活動休止前に使われていたメールテンプレートの再利用も確認されました。 今後、ますますメールのテンプレートのパターンが増加してくることが予想されます。中にはとても巧妙なもの(件名:会議開催通知)もありましたので、注意が必要です。

■最後に

残念ながら日本国内には既に感染端末は多数存在します。感染による負の連鎖で感染端末が再び日本国内で爆発的に増加しないように、対策を取る必要があります。対策は休止前と何も変わりません。

個人としては、docファイルは開くかどうか特に注意する、マクロの自動実行は許可しない、デコイ文書の画像が見えたらマクロは有効にしない。

組織では、メールセキュリティ製品でマクロ付きdocファイルを規制する、PowerShellによる外部への接続を制限する、URLHausのfeed( https://urlhaus.abuse.ch/api/ )を取得しブロックリストに加える、感染拡大防止のために管理共有を無効化しておく、といった対策が必要です。

少しでも感染する機会が減ることを願っています。

Emotet感染時の対応

マルウェア Emotet (エモテット)に感染していることが判明した場合の対処方法です。

 

<注意>
Emotetは時間と共に手法が変化するため、あくまで記載当時(2020/01/27)の暫定対応手順です。
-> 2020/07/17以降の活動再開後の手順に一部修正しました(2020/07/23)

マルウェアEmotetは、ウイルス対策ソフトの検知を逃れることが多いです。
そのため、ウイルス対策ソフトのフルスキャンで何も検知しなかったからと言って、感染していないとは言い切れません。
そのため、感染しているかどうかを、以下の手順で確認する必要があります。

なお、Emotetは駆除が困難な場合がありますので、対処できない場合には専門家(セキュリティ専門ベンダやIPAやJPCERT)へ相談してください。

 

以下、想定される順に対応を記載します。

■1. 感染が疑われる端末を探す

悪用されているメールアドレスを使っている端末が感染している可能性が高いです。

以下の記事を参考にしてください。

https://bomccss.hatenablog.jp/entry/emotet

 

■2.感染している端末をネットワークから切り離す

感染を広げないために、ネットワークから切り離します。LANケーブルで有線接続している場合にはLANケーブルを抜きます。
無線(Wi-Fi)接続の場合には無効化が必要です。WIndows10の場合は以下で無線(Wi-Fi)の無効化が可能です。

f:id:bomccss:20200126171408p:plain

 

■3.悪用されているメールアドレスのパスワードを "他の端末から" 変更する

Emotetに感染すると、メールのアカウント、パスワードを盗まれ、悪用されます。そのため、メールアカウントのパスワードを変更する必要があります。
変更の仕方は各メールソフトなどにより異なるため、組織の管理者や各ソフトの紹介ページで確認してください。例えば、GmailOutlookの場合、該当のWebページへログインし、アカウントのパスワード変更を行うことで可能です。

感染している端末で変更すると、変更したパスワードも盗まれる可能性がありますので、感染していない他の端末から変更します。

  

■4.Emotetの感染有無を確認する

<2020/07/23更新>
2020/02のEmotetの更新により対処され、現在ではEmotetの感染有無を確認できるツールはありません

5. の以下の自動起動の設定が存在するかを確認することで、感染有無を確認します。

Emotetに感染しているかをチェックするツールをJPCERT/CCが公開しています。

この中のemocheck_x86.exe(64bit環境では emocheck_x64.exe)です。
これを実行し、「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しています。

感染していた場合には、以下を実行してください。
・実行結果に表示されている「イメージパス」フォルダをエクスプローラーで開き、表示されているexeを削除
・タスクマネージャーを起動し、詳細タブから実行結果に表示されている「プロセスID」を選択し、タスクを終了

なお、このツールはEmotetが取りうる<特定の名前>をプロセス一覧から探し出すツールです。<特定の名前>は以下のリストの中から2つの単語を繋げたものになります。例えば、pfxformat.exe など。

acc, avi, basic, bid, blb, bta, cards, channel, clr, cors, createa, ctl, cyan, dbt, devices, digital, driver, duck, dvb, edge, elem, ellipse, etw, exce, format, guid, inet, khmer, metrics, mexico, mfidl, msg, msra, mult, pal, pdeft, pfx, ptr, purge, query, radio, restore, roam, rtp, send, ses, shext, shlp, sidebar, space, symbol, targets, taskmgr, thrd, thunk, timeout, url, violet, vmd, vol, volume, wce, wmistr, wmp

 

また、他にEmotetに感染しているかをチェックするツールを海外のセキュリティ研究者が公開しています。この中の以下のDetected.exeになります。https://github.com/d00rt/emotet_protection_tools/releases/download/v1.0-alpha/Detectet.exe

これを実行して「This system apparently was infected by Emotet :<」と出ていたら、Emotetに感染しています。

■5.Emotetの感染有無を確認する(自動起動)

Emotetに感染しているかはEmotetの自動起動設定があるか、という点から確認します。

 

Emotetに感染している場合は、以下のレジストリキーにEmotetのexeが登録されています。

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
※端末にログインした際に自動的に実行されるプログラムの登録先

レジストリエディタ (regedit.exe) から、上記キーを探します。
Windows10の場合は検索窓にレジストリエディタまたはregeditと入れて検索すると見つけやすいです。

f:id:bomccss:20200126174633p:plain

 

レジストリエディターで上記のキー: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run を探します。

f:id:bomccss:20200801170521j:plain

※上記の例では1つしか登録されていませんが、通常はadobechromeのような正規のアプリケーションが登録されています。

 

 Emotetに感染している場合、「データ」に記載されているパスが以下ようになっている場合、Emotetに感染しているする可能性が高いです。該当のパスにEmotet本体のexeが存在します。

C:\Users\<ユーザ名>\AppData\Local\<特定の名前>\<キーの名前>.exe

※ <特定の名前>,<キーの名前> は違う名前になります。上記の例では例えば、<キーの名前>はWindows.UI、<特定の名前>はMSAC3ENC です。

 

この<特定の名前>, <キーの名前>はC:\windows\system32\フォルダにあるexe,またはdllの名前(拡張子除く)からランダムで選ばれます。

f:id:bomccss:20200801164415j:plain

 

実際にEmotetに感染しexeが置かれているとこのようになります。(アイコン画像や名前はexeにより異なります)

f:id:bomccss:20200801161805j:plain

exeファイルのプロパティ(アイコンや「説明」に記載の内容はexeによって異なります。)

f:id:bomccss:20200801163532j:plain

 

Emotetに感染しているかの確認ポイントをまとめると、以下になります。

1. レジストリキーの以下を確認
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2. 1.のレジストリキーに登録されているデータが以下のものが存在するかを確認
 C:\Users\<ユーザ名>\AppData\Local\<特定の名前>\<キーの名前>.exe

3. 上記のデータの<特定の名前><キーの名前>が以下のフォルダにexeまたはdllの名前として存在するかを確認
 C:\windows\system32\

4. 上記全てに当てはまる場合、レジストリキーに登録されているexeがEmotetであり、Emotetに感染している

 

<2020/08/02追記>

上記のEmotet感染有無の確認を行うスクリプトを作成しました。以下よりダウンロードして感染が疑われる端末で実行することで感染有無が確認できます。

 

 

Emotetに感染している場合には、以下を実行してください。
・Emotetのexeをフォルダごと削除
レジストリエディタに登録されているキーの名前を選択して削除
・実行中のEmotetのプロセスを停止

 

自動起動の設定と本体を削除しても、実行中のEmotetは止まりません。実行中のEmotetは、タスクマネージャから実行中のプログラムを探して停止させます。
※タスクマネージャはタスクバーを右クリックして出るメニューから選択、または、「Ctrl+Shift+Esc」で出すことが出来ます。

プロセスタブのバックグラウンドプロセスの中から削除したexeと同じアイコンで(32ビット)と書かれているもの探します。
プロセスの名前はexeの名前でなく、exeに記載されていた「説明」の欄がプロセスの名前です。どれか不明な時は、右クリックして「プロパティ」を選択し確認します。

Emotetのプロセスが見つかったら、右クリックして「タスクの終了」を選択します。
※下記画像はプロセス名が異なりますが、上記説明で使用したexeであれば、プロセス名は「DriveBrowsingTree」になります。

f:id:bomccss:20200128001122p:plain

 

なお、Emotetのexeは感染状況によっては、上記以外にも潜伏している可能性があるため、見つかっても、見つからなくても、更に対処を行います。

■5.Emotetの感染有無を確認し、削除する (サービス)

Emotetは管理者権限で実行された場合、Emotetは上記の自動起動ではなくサービスとして登録され感染します。
(通常は管理者権限で実行されませんが、主に組織内で横展開が行われた場合 には、管理者権限で実行されることが想定されます。)

サービスとして実行されている場合、exeは以下に置かれます。

・ C:\Windows\SysWOW64\<特定の名前>.exe   (64bitシステムの場合)

・ C:\Windows\system32\<特定の名前>.exe   (32bitシステムの場合)

更新日時順に並べ替えると、見つけやすいかもしれません。
f:id:bomccss:20200128002414p:plain

上記フォルダに<特定の名前>のexeが見つかった場合、Emotetと考えられます。exeは削除します。
この場合、サービスとして登録されている可能性が高いです。サービスはWindows10の場合は検索窓で探すことですぐに見つけられます。

f:id:bomccss:20200128003842p:plain

この場合、サービスとしては以下の様に<特定の名前>で登録されます。なお、説明欄は他のサービスの説明がランダムにコピーされています。

f:id:bomccss:20200128002939p:plain

f:id:bomccss:20200128003117p:plain

サービスの実態は以下のレジストリに登録されています。
・ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<特定の名前>\
「名前」のImagePathにexeのパスが登録されています。

f:id:bomccss:20200128003940p:plain

レジストリエディタで<特定の名前>フォルダごと削除します。

サービスを削除したら、実行中のプロセスも、4.と同様の手順で停止させます。

<注意>
この "サービスとして登録されていた場合" は組織内で横展開がされていた可能性が非常に高いです。組織内の同一ネットワークセグメントの端末やADが感染している可能性が考えられます。

組織内の全端末およびサーバに対して、これまでの手順と以下の手順により、Emotetのexeがないか、確認する必要性があります。

また、Emotetの根絶や影響範囲の特定が困難なことが予想されますので、セキュリティ専門組織へと相談していただくのが望ましいです。

■6.Emotetのexe本体を探し、削除する。

4.ではなく5.でEmotetが見つかった場合、組織内で大量に感染している可能性があります。このケースでは、他にも以下にEmotetのexeが置かれる可能性があります。

また、この場合には上記の<特定の名前>.exeだけでなく、<数字8桁>.exeの場合も確認しています。

  ・ C:\
  ・ C:\Windows
  ・ C:\ProgramData\
  ・ C:\Windows\system32\

これらの場所へは、同一セグメント内の他の端末から管理共有を利用してコピーされた可能性が高いです。
更にActiveDirectoryのグループポリシーやログオンスクリプトなどにより、管理者権限でexeが実行され、サービスとして登録されてしまいます。

※管理共有
デフォルトで有効になっている共有設定。接続先のホスト名(IPアドレスでも可)と相手先に存在するID/Passwordを使うことで接続可能。管理共有が使われている場合はID/PWが既にEmotetに盗まれている可能性が高い。大抵は組織内の共通のアカウントかADのアカウントと思われる。
端末の共有で以下のコマンドで管理共有を確認できる。(共有名の末尾に$がついているもの)

f:id:bomccss:20200128012424p:plain

 

■7.Trickbotの感染有無の確認

Emotetは他のマルウェアにも感染させます。主にTrickbotにも感染させます。
Trickbotは以下にファイルが作成されます。
  ・ C:\ProgramData\<ランダムな名前>.exe
Trickbotは実行されると以下にファイルが作成されます。
  ・ C:\Users\<ユーザ名>\AppData\Roaming\<特定の名前>\<ランダムな名前>.exe

<特定の名前>はEmotetのように単語2つをあわせています、Emotetの名前とは異なります。ランダムな名前は単語として意味をなさない文字の羅列です。
更に2つ目と同じフォルダに以下が置かれます。

  ・ C:\Users\<ユーザ名>\AppData\Roaming\<特定の名前>\settings.ini

f:id:bomccss:20200128014935p:plain

Trickbotの実行はタスクスケジューラに登録されます。大抵12分(前後)ごとに繰り替えし実行で登録されます。上記パスに対する登録を見つけ、exeと共にタスクを削除してください。登録されるのは2つ目のパスですが、exeは全て2つとも削除します。

f:id:bomccss:20200128014958p:plain

 

■8.アカウントのパスワード変更

EmotetやTrickbotは様々なアカウントのID/Passwordを盗みます。盗まれた可能性のある以下のものはパスワードを変更を推奨します。2要素認証の導入も効果的です。
  ・ WindowsのログインID/PW
  ・メールアカウントのID/PW
  ・ブラウザに保存していたID/PW
  ・ブラウザでログインしたID/PW (googleなどのアカウント、ショッピングサイト、オンラインバンキングのID/PWなど)

EmotetやTrickbotはWindowsサーバも対象にします。EmotetやTrickbotに感染したサーバもパスワードを変更する必要があります。

 

<参考>

こちらも参照ください。
 ・JPCERT/CC マルウエアEmotetへの対応FAQ
   https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

 

不備等ありましたら、ご連絡ください。

 

<サムネ用画像>

f:id:bomccss:20200801182755j:plain

 

以上。

マルウェアEmotetについて

マルウェアEmotet (エモテット) に関するまとめです。
主に感染時の被害と感染有無の確認について記載します。

日本で感染被害が拡大しています。Emotetに感染した場合、加害者にもなってしまいますので、感染している場合は漏れなく対処ください。
2020/07/17以降のEmotetについては以下の記事も合わせて参照ください

 

■1. マルウェアEmotetとは

マルウェアとは悪意ある動作を行うソフトウェアのことです。コンピュータウイルスと(厳密な定義では違いますが一般的には)同じです。

Emotetに感染すると生じる被害の主なポイントは以下です。

  • 端末、ブラウザに保存しているID、PWが窃取される (ログインIDやメールアカウント等も)
  • メールアカウントが悪用され、外部へ大量のEmotet感染メールを送信する (2次感染の加害者になってしまう)
  • 他のマルウエアにも感染する (主に不正送金被害やランサムウェア被害)

 以下、セキュリティ専門機関であるJPCERT/CCIPAから注意喚起等が出ています。

・マルウエア Emotet の感染に関する注意喚起
  https://www.jpcert.or.jp/at/2019/at190044.html
・マルウエアEmotetへの対応FAQ
  https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
・「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
  https://www.ipa.go.jp/security/announce/20191202.html 

 

■2. Emotetに感染する要因

Emotetは主にメールの添付ファイルから感染します。Emotetに感染させるメールには、主に2つのパターンがあります。

  • ばらまき型Emotet(固定の件名でメールの履歴がないもの)
    Emotetに感染した人のアドレス帳に含まれている人および過去メールの送受信をした人からアドレスを選択し、送信元アドレス、宛先アドレスに設定して送られていると考えられます。(なりすましメール

  • 返信型Emotet
    実際に過去に送受信したメールの本文が盗まれて、その返信を装うもの。返信の内容は過去のやり取りからすると違和感がある内容も多いが、やり取りしたメールが存在するため、信じやすい
    ※返信型と呼んでいるが、必ずしも返信(RE: ,Re:)が付くとは限らない。そのままの件名の場合もある

主に世間で注意喚起されているのは返信型Emotetですが、実際のメールの送信量としてはばらまき型Emotetが多いです。
どちらの場合も知人からのメールを装った「なりすましメール」が届くため、信じて添付ファイル(またはリンク)を開いてしまいやすいものです。


これらのメールの添付ファイルまたはリンクからダウンロードされる.docファイルを開き、マクロ(コンテンツ)を有効化することで、PowerShellが実行されインターネットからEmotetをダウンロードし、感染します。
マクロを有効化しなければ感染しません

Emotetに感染させるファイルは以下の様な見た目が含まれた.doc形式のファイルです。
感染が疑われる場合には、この画像に見覚えがないか、ヒアリングするのも良いでしょう。

▼2020/07/17以降

f:id:bomccss:20200801153315j:plain

■3. 受信したメールによるEmotet感染の疑いのあるメールアカウントの識別

Emotetに感染すると、メールアカウント情報が窃取され、Emotetに感染させるメールの送信に悪用されます。
※Emotetに感染し対応していても、メールアカウントのパスワードを変えていない場合、継続してメール送信の踏み台として悪用される可能性があります。

 

以下にEmotetに感染するメールを受信した時、Emotetに感染している可能性の高いアドレスの見分け方を示します。

A. ばらまきメール

A-1. (図の緑部) メールの送信者として表示されているアドレスはEmotetに感染しているかは不明です。アドレス帳の情報が利用されただけの可能性もあり、感染していると判断することはできません。

A-2. (図の赤部) 実際のメールの送信に悪用されたアドレスはEmotetに感染しています。
 ※Outlookであれば、メールアドレスが2つ表示されていた場合には2つ目のアドレス(1つであればそのアドレス)が実際のメール送信に悪用されたアドレス。他のメールソフトでは、2つ目のメール送信されたアドレスが表示されないメールソフトもあるため、注意。

f:id:bomccss:20200123073322p:plain

B. 返信型メール

B-1. (図の1つ目の赤部) 返信型の場合、メールの送信者として表示されているアドレスはEmotetに感染している可能性が高いです。ただし、一度メールが盗まれると、対処済でも継続して返信型メールとして利用され続けるため、既に対処済の可能性もあります。
B-2. (図の2つ目の赤部) 実際のメールの送信に悪用されたアドレスはEmotetに感染しています。

f:id:bomccss:20200123073302p:plain

なお、日頃の調査の中で私がこれらのEmotetに感染している可能性が高いアドレスが判明した際には、可能な範囲で対象のアドレスまたは企業に通知しています。

 

■4. Emotet感染の疑いのある振る舞い

Emotetに感染しメールの送信に悪用されていた場合、以下のような可能性があります。

・送信した覚えのないメールへの返事や送信エラーが返ってくる。
 (Unreachable 請求書のお願い、などの件名)

 

■5. Emotet感染の確認

悪用されているメールアドレスが判明した場合、該当のメールアドレスを使用していた端末がEmotetに感染している可能性が高いです。

Emotetに感染している場合、以下のパスにEmotet本体のexeが存在する可能性が高いです。
・C:\Users\<ユーザ名>\AppData\Local\<特定の名前1>\<特定の名前2>.exe

※<特定の名前1>, <特定の名前2> はC:\windows\system32 フォルダにあるexe, dllの中からランダムで選ばれます。1と2は違う名前になります。例えば、\MSAC3ENC\Windows.UI.exe などです。

f:id:bomccss:20200801161805j:plain

また、感染している場合には以下のレジストリキーに上記exeが登録されています。

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 ※端末にログインした際に自動的に実行されるプログラムの登録先

f:id:bomccss:20200801161851j:plain

※画像は検証端末で取得したもののため、他にデータがありませんが、普通に使用していても正規のアプリケーションが複数存在します。

なお、PowerShellを使って、以下のように調べることが可能です。

powershell.exe Get-Item -Path "Registry::HKCU\Software\Microsoft\Windows\CurrentVersion\Run"

 

■6. Emotetに感染している場合の対処

別の記事として、Emotet感染時の対応について記載しました。

https://bomccss.hatenablog.jp/entry/emotet-ir

※基本的には端末の初期化が安全だと思います。

 

合わせてこちらも参照ください。
 ・マルウエアEmotetへの対応FAQ
   https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

 

 

<参考>

▼2020/07/17以前のEmotetに感染する.docファイルの見た目
f:id:bomccss:20200126023452p:plain

f:id:bomccss:20200126023506p:plain

f:id:bomccss:20200126023518p:plain

f:id:bomccss:20200126023545p:plain

 


 

以上