bomb_log

セキュリティに関するbom

Emotet感染時の対応

Emotetに感染していることが判明した場合の対処方法です。

 

<注意>
Emotetは時間と共に手法が変化するため、あくまで記載当時(2020/01/27)の暫定対応手順です。自己責任で実施ください。

マルウェアEmotetは、ウイルス対策ソフトの検知を逃れることが多いです。
そのため、ウイルス対策ソフトのフルスキャンで何も検知しなかったからと言って、感染していないとは言い切れません。
そのため、感染しているかどうかを、以下の手順で確認する必要があります。

なお、Emotetは駆除が困難な場合がありますので、対処できない場合には専門家へ相談してください。

 

以下、想定される順に対応を記載します。

■1. 感染が疑われる端末を探す

悪用されているメールアドレスを使っている端末が感染している可能性が高いです。

以下の記事を参考にしてください。

https://bomccss.hatenablog.jp/entry/emotet

 

■2.感染している端末をネットワークから切り離す

有線LANの抜線だけでなく、無線の場合には無効化も必要です。
WIndows10の場合は以下で無線(Wi-Fi)の無効化が可能です。

f:id:bomccss:20200126171408p:plain

 

■3.悪用されているメールアドレスのパスワードを "他の端末から" 変更する

Emotetに感染すると、メールのアカウント、パスワードを盗まれ、悪用されます。そのため、メールアカウントのパスワードを変更する必要があります。
感染している端末で変更すると、変更したパスワードも盗まれる可能性がありますので、感染していない他の端末から変更します。

  

■4.Emotetの感染有無を確認する

Emotetに感染しているかをチェックするツールをJPCERT/CCが公開しています。

この中のemocheck_x86.exe(64bit環境では emocheck_x64.exe)です。
これを実行し、「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しています。

感染していた場合には、以下を実行してください。
・実行結果に表示されている「イメージパス」フォルダをエクスプローラーで開き、表示されているexeを削除
・タスクマネージャーを起動し、詳細タブから実行結果に表示されている「プロセスID」を選択し、タスクを終了

なお、このツールはEmotetが取りうる<特定の名前>をプロセス一覧から探し出すツールです。<特定の名前>は以下のリストの中から2つの単語を繋げたものになります。例えば、pfxformat.exe など。

acc, avi, basic, bid, blb, bta, cards, channel, clr, cors, createa, ctl, cyan, dbt, devices, digital, driver, duck, dvb, edge, elem, ellipse, etw, exce, format, guid, inet, khmer, metrics, mexico, mfidl, msg, msra, mult, pal, pdeft, pfx, ptr, purge, query, radio, restore, roam, rtp, send, ses, shext, shlp, sidebar, space, symbol, targets, taskmgr, thrd, thunk, timeout, url, violet, vmd, vol, volume, wce, wmistr, wmp

 

また、他にEmotetに感染しているかをチェックするツールを海外のセキュリティ研究者が公開しています。この中の以下のDetected.exeになります。https://github.com/d00rt/emotet_protection_tools/releases/download/v1.0-alpha/Detectet.exe

これを実行して「This system apparently was infected by Emotet :<」と出ていたら、Emotetに感染しています。

■5.Emotetの感染有無を確認する(自動起動)

 EmoCheckを実行し感染していると表示された場合、出力結果にイメージパスが表示されます。
該当のイメージパスをエクスプローラーから開きます。
Emotetに感染している場合、主に以下のパスにEmotet本体のexeが存在する可能性が高いです。
C:\Users\<ユーザ名>\AppData\Local\<特定の名前>\<特定の名前>.exe

f:id:bomccss:20200127234928p:plain

exeファイルのプロパティ(「説明」に記載の内容はexeによって異なります。)
f:id:bomccss:20200128001919p:plain

Emotetのexeが見つかった場合、フォルダごと削除してください。

 

また、上記パスで感染している場合には以下のレジストリキーに上記exeが登録されています。

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 ※端末にログインした際に自動的に実行されるプログラムの登録先

レジストリエディタ (regedit.exe) から、上記キーを探します。
Windows10の場合は検索窓にレジストリエディタまたはregeditと入れて検索すると見つけやすいです。

f:id:bomccss:20200126174633p:plain

※以下の例では1つしか登録されていませんが、通常はadobechromeなど様々なものが登録されています。「名前」が<特定の名前>で「データ」に記載されているパスが上記Emotetのexeの場所にあたるものがあるか確認してください。

f:id:bomccss:20200127235805p:plain

レジストリにEmotetが登録されている場合には、レジストリエディタから名前を選択し削除してください。 

レジストリの値はPowerShellを使って、以下のように調べることも可能です。

powershell.exe Get-Item -Path "Registry::HKLM\Software\Microsoft\Windows\CurrentVersion\Run"

 

自動起動の設定と本体を削除しても、実行中のEmotetは止まりません。タスクマネージャから実行中のプログラムを見つけて、停止させます。
※タスクマネージャはタスクバーを右クリックして出るメニューから選択、または、「Ctrl+Shift+Esc」で出すことが出来ます。

 EmoCheckを実行し感染していると表示された場合、出力結果にプロセスIDがが表示されます。
詳細タブから該当のPIDを調べて、タスクの終了を選択します。

PIDが不明な場合、プロセスタブのバックグラウンドプロセスの中から削除したexeと同じアイコンで(32ビット)と書かれているもの探します。
プロセスの名前はexeの名前でなく、exeに記載されていた「説明」の欄のものです。どれか不明な時は、右クリックして「プロパティ」を選択し確認します。
Emotetのプロセスが見つかったら、右クリックして「タスクの終了」を選択します。

f:id:bomccss:20200128001122p:plain

なお、Emotetのexeは感染状況によっては、上記以外にも潜伏している可能性があるため、見つかっても、見つからなくても、更に対処を行います。

■5.Emotetの感染有無を確認し、削除する (サービス)

Emotetは管理者権限で実行された場合、Emotetは上記の自動起動ではなくサービスとして登録され感染します。
(通常は管理者権限で実行されませんが、主に組織内で横展開が行われた場合 には、管理者権限で実行されることが想定されます。)

サービスとして実行されている場合、exeは以下に置かれます。

・ C:\Windows\SysWOW64\<特定の名前>.exe   (64bitシステムの場合)

・ C:\Windows\system32\<特定の名前>.exe   (32bitシステムの場合)

更新日時順に並べ替えると、見つけやすいかもしれません。
f:id:bomccss:20200128002414p:plain

上記フォルダに<特定の名前>のexeが見つかった場合、Emotetと考えられます。exeは削除します。
この場合、サービスとして登録されている可能性が高いです。サービスはWindows10の場合は検索窓で探すことですぐに見つけられます。

f:id:bomccss:20200128003842p:plain

この場合、サービスとしては以下の様に<特定の名前>で登録されます。なお、説明欄は他のサービスの説明がランダムにコピーされています。

f:id:bomccss:20200128002939p:plain

f:id:bomccss:20200128003117p:plain

サービスの実態は以下のレジストリに登録されています。
・ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<特定の名前>\
「名前」のImagePathにexeのパスが登録されています。

f:id:bomccss:20200128003940p:plain

レジストリエディタで<特定の名前>フォルダごと削除します。

サービスを削除したら、実行中のプロセスも、4.と同様の手順で停止させます。

<注意>
この "サービスとして登録されていた場合" は組織内で横展開がされていた可能性が非常に高いです。組織内の同一ネットワークセグメントの端末やADが感染している可能性が考えられます。

組織内の全端末およびサーバに対して、これまでの手順と以下の手順により、Emotetのexeがないか、確認する必要性があります。

また、Emotetの根絶や影響範囲の特定が困難なことが予想されますので、セキュリティ専門組織へと相談していただくのが望ましいです。

■6.Emotetのexe本体を探し、削除する。

4.ではなく5.でEmotetが見つかった場合、組織内で大量に感染している可能性があります。このケースでは、他にも以下にEmotetのexeが置かれる可能性があります。

また、この場合には上記の<特定の名前>.exeだけでなく、<数字8桁>.exeの場合も確認しています。

  ・ C:\
  ・ C:\Windows
  ・ C:\ProgramData\
  ・ C:\Windows\system32\

これらの場所には、管理共有を利用して同一セグメント内の他の端末から自動的にコピーされた可能性が高いです。
更にActiveDirectoryのグループポリシーやログオンスクリプトなどにより、管理者権限でexeが実行され、サービスとして登録されてしまいます。

※管理共有
デフォルトで有効になっている共有設定。接続先のホスト名(IPアドレスでも可)と相手先に存在するID/Passwordを使うことで接続可能。管理共有が使われている場合はID/PWが既にEmotetに盗まれている可能性が高い。大抵は組織内の共通のアカウントかADのアカウントと思われる。
端末の共有で以下のコマンドで管理共有を確認できる。(共有名の末尾に$がついているもの)

f:id:bomccss:20200128012424p:plain

 

■7.Trickbotの感染有無の確認

Emotetは主にTrickbotにも感染させます。Trickbotは以下にファイルを作成します。
  ・ C:\ProgramData\<ランダムな名前>.exe
  ・ C:\Users\<ユーザ名>\AppData\Roaming\<特定の名前>\<ランダムな名前>.exe

<特定の名前>はEmotetのように単語2つをあわせています、Emotetの名前とは異なります。ランダムな名前は単語として意味をなさない文字の羅列です。
更に2つ目と同じフォルダに以下が置かれます。

  ・ C:\Users\<ユーザ名>\AppData\Roaming\<特定の名前>\settings.ini

f:id:bomccss:20200128014935p:plain

Trickbotの実行はタスクスケジューラに登録されます。大抵12分(前後)ごとに繰り替えし実行で登録されます。上記パスに対する登録を見つけ、exeと共にタスクを削除してください。登録されるのは2つ目のパスですが、exeは全て2つとも削除します。

f:id:bomccss:20200128014958p:plain

 

■8.アカウントのパスワード変更

EmotetやTrickbotは様々なアカウントのID/Passwordを盗みます。盗まれた可能性のある以下のものはパスワードを変更しましょう。2要素認証の導入も効果的です。
  ・ WindowsのログインID/PW
  ・メールアカウントのID/PW
  ・ブラウザに保存していたID/PW
  ・ブラウザでログインしたID/PW (googleなどのアカウント、ショッピングサイト、オンラインバンキングのID/PWなど)

EmotetやTrickbotはWindowsサーバも対象にします。EmotetやTrickbotに感染したサーバもパスワードを変更する必要があります。

 

<参考>

こちらも参照ください。
 ・JPCERT/CC マルウエアEmotetへの対応FAQ
   https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

 

不備等ありましたら、ご連絡ください。

 

以上。

マルウェアEmotetについて

マルウェアEmotetに関するまとめです。
主に感染時の被害と感染有無の確認について記載します。

日本で感染被害が拡大しています。Emotetに感染した場合、加害者にもなってしまいますので、感染している場合は漏れなく対処ください。

 

■1. マルウェアEmotetとは

Emotetに感染すると生じる被害の主なポイントは以下です。

  • 端末、ブラウザに保存しているID、PWが窃取される (ログインIDやメールアカウント等も)
  • メールアカウントが悪用され、外部へ大量のEmotet感染メールを送信する (2次感染の加害者になってしまう)
  • 他のマルウエアにも感染する (主に不正送金被害やランサムウェア被害)

 以下、セキュリティ専門機関であるJPCERT/CCIPAから注意喚起等が出ています。

・マルウエア Emotet の感染に関する注意喚起
  https://www.jpcert.or.jp/at/2019/at190044.html
・マルウエアEmotetへの対応FAQ
  https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
・「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
  https://www.ipa.go.jp/security/announce/20191202.html 

 

■2. Emotetに感染する要因

Emotetは主にメールの添付ファイルから感染します。Emotetに感染させるメールには、主に2つのパターンがあります。

  • ばらまき型Emotet(固定の件名でメールの履歴がないもの)
    送信先アドレスはEmotetに感染した人のアドレス帳に含まれている人および過去メールの送受信をした人に対して送られていると考えられます。
  • 返信型Emotet(実際に送ったメールの本文が盗まれて、その返信を装うもの)
    ※返信型と呼んでいるが、必ずしも返信(RE: ,Re:)が付くとは限らない。そのままの件名の場合もある

主に世間で注意喚起されているのは返信型Emotetですが、実際のメールの送信量としてはばらまき型Emotetが多いです。


これらのメールの添付ファイルまたはリンクからダウンロードされる.docファイルを開き、マクロ(コンテンツ)を有効化することで、PowerShellが実行されインターネットからEmotetをダウンロードし、感染します。
Emotetに感染させるファイルは以下の様な外見の.docファイルです。

f:id:bomccss:20200126023452p:plain

f:id:bomccss:20200126023506p:plain

f:id:bomccss:20200126023518p:plain

f:id:bomccss:20200126023545p:plain


■3. 受信したメールによるEmotet感染の疑いのあるメールアカウントの識別

Emotetに感染すると、メールアカウント情報が窃取され、Emotetに感染させるメールの送信に悪用されます。
※Emotetに感染し対応していても、メールアカウントのパスワードを変えていない場合、継続してメール送信の踏み台として悪用される可能性があります。

以下にEmotetに感染するメールを受信した時、Emotetに感染している可能性の高いアドレスの見分け方を示します。

A. ばらまきメール

A-1. (図の緑部) メールの送信者として表示されているアドレスはEmotetに感染しているかは不明です。アドレス帳の情報が利用されただけの可能性が高いです。
A-2. (図の赤部) 実際のメールの送信に悪用されたアドレスはEmotetに感染しています。

f:id:bomccss:20200123073322p:plain

B. 返信型メール

B-1. (図の1つ目の赤部) メールの送信者として表示されているアドレスはEmotetに感染している可能性が高いです。ただし、一度メールが盗まれると、対処済でも継続して返信型メールとして利用され続けるため、既に対処済の可能性もあります。
B-2. (図の2つ目の赤部) 実際のメールの送信に悪用されたアドレスはEmotetに感染しています。

f:id:bomccss:20200123073302p:plain

これらのEmotetに感染している可能性が高いアドレスが判明した際には、対象のアドレスまたは企業に通知しています。

 

■4. Emotet感染の疑いのある振る舞い

Emotetに感染しメールの送信に悪用されていた場合、以下のような可能性があります。

・送信した覚えのないメールへの返事や送信エラーが返ってくる。
 (Unreachable 請求書のお願い、などの件名)

 

■5. Emotet感染の確認

悪用されているメールアドレスが判明した場合、該当のメールアドレスを使用していた端末がEmotetに感染している可能性が高いです。

Emotetに感染している場合、以下のパスにEmotet本体のexeが存在する可能性が高いです。
C:\Users\<ユーザ名>\AppData\Local\<特定の名前>\<特定の名前>.exe
<特定の名前> はどちらも同じ名前ですが、以下のリストの中から2つの単語を繋げたものになります。例えば、pfxformat.exe など。

duck,mfidl,targets,ptr,khmer,purge,metrics,acc,inet,msra,symbol,driver,sidebar,restore,msg,volume,cards,shext,query,roam,etw,mexico,basic,url,createa,blb,pal,cors,send,devices,radio,bid,format,thrd,taskmgr,timeout,vmd,ctl,bta,shlp,avi,exce,dbt,pfx,rtp,edge,mult,clr,wmistr,ellipse,vol,cyan,ses,guid,wce,wmp,dvb,elem,channel,space,digital,pdeft,violet,thunk

また、感染している場合には以下のレジストリキーに上記exeが登録されています。

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 ※端末にログインした際に自動的に実行されるプログラムの登録先

例えば、PowerShellを使って、以下のように調べることが可能です。

powershell.exe Get-Item -Path "Registry::HKLM\Software\Microsoft\Windows\CurrentVersion\Run"

 f:id:bomccss:20200126035145p:plain

 

■6. Emotetに感染している場合の対処

別の記事として、Emotet感染時の対応について記載しました。

https://bomccss.hatenablog.jp/entry/emotet-ir

※基本的には端末の初期化が安全だと思います。

 

合わせてこちらも参照ください。
 ・マルウエアEmotetへの対応FAQ
   https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

 

 

 

以上

2020/01/13(月)週 添付ファイル付不審メール(Emotet -> Trickbot)の調査

2020年は1/13からEmotetのメール配信が世界的に再開されました。
Emotetの休みは2019/12/20-2020/01/12までの約3週間でした

変わらず、EmotetからTrickbotへも感染します。
なお、EmotetからTrickbotへ感染するのは、日本だけでなく、世界的にも同様の観測がなされています。

 

■サンプル
https://app.any.run/tasks/57cee0b8-45fd-4fe4-a8dd-1d8a851e423b/

Malware-Traffic-Analysis.net - 2020-01-14 - Quick post: Emotet Epoch 2 infection with Trickbot gtag mor75

Malware-Traffic-Analysis.net - 2020-01-17 - Quick post: Emotet epoch 2 infection with Trickbot gtag mor78

 

■日時
2020/01/13(月) 22:00頃 - 2020/01/18(土)

 

 

■メール件名

▼件名の変化

・2020/01/14-
会議開催通知という件名で、非常に良く出来た日本語のメールが使用されるようになりました。会議の詳細は添付ファイルを確認してください、として添付ファイルを開かせる手口です。
会議関連の件名は世界よりも先行して使用されていたと思われます。

・2020/01/18-
件名が宛先名と同一で、本文が、あなたのPCをハッキングしました、というものでセクストーションと同じ形です。支払いの方法は添付ファイルを確認してください、として添付ファイルを開かせる手口です。
世界的にも同様の内容でメールが送信されています。
件名が宛先名と同じというのは、12月までは偽装返信型と呼んでいたものと同じです。

 

▼日本語件名一覧
・返信型
Re: [実際のメール件名]
[実際のメール件名]

・Hacked系
[ユーザ名]
 ※本文がハッキングしました、というもの。

・請求書関連
ご入金額の通知・ご請求書発行のお願い
請求書の件です。
請求書送付のお願い

・会議関係(2020/01/14~)
会議開催通知
会議への招待
 ※本文の日本語が巧妙

・汎用件名
コメント
データ
ドキュメント
メッセージ
メッセージを繰り返す
リマインダー
新バージョン
最後のオプション
現在のバージョン
一覧
備考
情報
助けて

・汎用関係に追加(2020/01/16-17頃まで使用)
助けが必要
助けてください
問題
質問..

・賞与関係(~2020/01/16頃まで使用)

月賞与
12月賞与
2019月賞与