主要記事
■マルウェアEmotetに関する記事
・マルウェアEmotetについて
・Emotet感染時の対応
・マルウェアEmotetの活動再開(2020/07/17-)
・マルウェアEmotetの活動再開(2020/12/21-)と変更点
■カンファレンス発表資料
Japan Security Analyst Conference (JSAC) 2020
日本を狙うばらまきメールキャンペーンの脅威動向分析と対策
https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_5_sajo-takeda-niwa_jp.pdf
[EN ver.] Battle Against Ursnif Malspam Campaign targeting Japan
https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_5_sajo-takeda-niwa_en.pdf
※2017年-2019年の2つのUrsnifキャンペーンの分析の発表
Japan Security Analyst Conference 2021
とあるEmotetの観測結果
https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_104_sajo-sasada_jp.pdf
[EN ver.] A Certain Emotet Campaign -Impact in Japan-
https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_104_sajo-sasada_en.pdf
※2019年-2021年の日本におけるEmotetキャンペーンの分析の発表
■取材記事
・[日経XTECH][2020.07.30] ばらまき型メールから日本を守る、知られざる善意の50人
・[NHKニュース][2021.4.13] ガーディアンズ・オブ・サイバースペース ~知られざる戦い~
・[NHK事件記者取材note][2021.6.23] “最恐ウイルス”に立ち向かった 8人の日本人ハッカー
■寄稿
・Emotetのテイクダウンにみる日本のマルウェア対策
https://tokiocyberport.tokiomarine-nichido.co.jp/cybersecurity/s/column-detail95
■Twitter
@bomccss
2020/08/31(月)週 添付ファイル付不審メール(Emotet -> ZLoader)の調査
日本国内で大流行のEmotetについて、感染時のフローをまとめました。
※取得してから記事にするのに時間が空いてしまったため、画像で感染の流れのポイントがわかれば、という程度です。
以前にEmotetのプロセスの動きを記載していたのは約一年前の以下の記事でした。Emotetの動き自体に大きな差は有りません。
2019/09/27(金) 添付ファイル付不審メール(Emotet -> Ursnif)の調査 - bomb_log
感染経路は不審メールです。
以下はEmotetの日本語メールの中の1つの例、協力会社各位系と呼んでいるメールのテンプレートです。
協力会社各位
お世話になっております。
標記の件、20_09_01に皆様にお送りしたご案内に修正事項がございます。
以下に要点を記載いたしますのご確認の程お願いいたします。
お心当たりがある業者様は取り急ぎご連絡いただきますようお願いいたします。
今後の手続きについてご案内いたします。
この度は当方の不手際でご迷惑をお掛けし、大変申し訳ございません。
添付されているファイルはEmotetをダウンロードするマルウェアです。今回は以下を使用しました。
https://app.any.run/tasks/8466ae86-0314-4928-aea4-e150e52b1f47/
添付ファイルを開くと以下のような見た目。(他にも様々な外見がある)
マクロを有効化すると、Word.exe ..->.. WmiPrvSE.exe -> powershell.exe -> conhost.exe でpowershellが実行され、Emotet本体を取得する。
PowerShellは以下のようにBase64で暗号化されている。
Emotet本体が取得され実行されると自己をコピーし以下に配置する
※Local配下は同じだが、フォルダ名、ファイル名は感染毎に異なる。
Emotet (exe)のC2への通信が確立すると永続化としてRunキーが設定される
C2への通信は以下のようにホストはIP直であり、ランダムな(存在しない)パスへPOSTを行う。
次に、ZLoaderの感染についてです。
(今回はEmotetから降ってこなかったため、取得された方から連携されたもので実施しています)
sample
https://app.any.run/tasks/d6bd9e08-8a0d-4ad2-a5a7-049446d173a9/
ZLoaderが実行されると、msiexec.exeを実行しそこにインジェクションします。
ZLoaderはC:\Users\(UserName)\AppData\Roaming\配下にランダムな名前のフォルダを作成し、そこに自身のコピーやその他モジュールを格納します。
動作すると感染の痕跡として、以下のようなレジストリキーを登録します。
toxm\ugbaは固定、Fuum\ubapaはランダムです。値はランダムです。
Registry Activity:
==================
[RegCreateKey] msiexec.exe:3900 > HKCU\Software\Microsoft\Fuum
[RegCreateKey] msiexec.exe:3900 > HKCU\Software\Microsoft\toxm
[RegSetValue] msiexec.exe:3900 > HKCU\Software\Microsoft\toxm\ugba = FE 55 FB 40 CD 93 22 B9 55 81 1C E7 B8 DB DD AC
[RegSetValue] msiexec.exe:3900 > HKCU\Software\Microsoft\Fuum\ubapa = F1 7C A9 AA 7F 1D 21 CC 48 67 90 F6 33 EE 93 1C
[RegSetValue] msiexec.exe:3900 > HKCU\Software\Microsoft\Fuum\ubapa = C7 67 C7 DD B4 56 BF 77 17 44 17 8C 5C 16 D8 EF
[RegSetValue] msiexec.exe:3900 > HKCU\Software\Microsoft\Fuum\ubapa = 2A B6 31 2A 7E 08 B0 88 F5 79 1E 72 10 76 BB CA
永続化はHKCU\Software\Microsoft\Windows\CurrentVersion\Runキーにセットされます。
通信はC2に対してPOSTします。C2との通信が成立しないと、別のC2へと順次通信していきます。
ZloaderのConfigです。CapeSandboxを使って取得しています。
https://www.capesandbox.com/analysis/79247/
Type: Zloader Config
Botnet name: SG
Campaign ID: SG
RC4 key: e858071ef441a9a66f1a0506fc20b8c3
C2address
hxxp://rrleuleuetijabsnqsgn[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://tvlmfacgscbjlndewpxn[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://yvibvuyolrfeegaophef[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://lastcost2020[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://lastcost2020[.]in/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://lastcost2020[.]info/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://lastcost2020[.]net/LKhwojehDgwegSDG/gateJKjdsh.php
hxxp://lastcost2020[.]org/LKhwojehDgwegSDG/gateJKjdsh.php
以上
マルウェアEmotetの活動再開(2020/07/17-)
2019年より日本に向けても活動を行っているマルウェアEmotet (エモテット) (2020/02/07以降活動休止) が2020/07/17より約5ヶ月ぶりに活動を再開しました。
※(2020/12/22追記)2020/10/31の休止後、2020/12/21に開催されたマルウェアEmotetの活動では挙動似変更点がありますので、2020/12/21以降のEmotetに関する情報は本記事ではなく、以下の記事を参照ください。
※Emotetは休止以前と基本的な挙動は変わっていません。以下の記事の内容は有効です。
・マルウェアEmotetについて
・Emotet感染時の対応
■活動再開とは
活動再開、というのは何を意味しているかというと「Emotetに感染した端末がEmotetに感染させるようなメールの送信を再開した」ということです。
2020/02/07以降もEmotetは感染した端末上でC2と通信を行い、Emotet自身のバイナリの更新などを行っていました。
しかし、メールの送信活動は2/7以降確認されていませんでした。
今回、メール送信活動が確認されたため、Emotetの活動再開、といわれています。
最初に確認したのはSpamhausです。
EMOTET UPDATE | We are observing more activity coming from the #Emotet #Botnet today. We are seeing email traffic from this botnet again. Both URLs and Attachments are being utilized for distribution. #malspam #threatintel pic.twitter.com/9zrc9fWMlN
— Spamhaus (@spamhaus) 2020年7月17日
国際的なEmotet対策の有志のチームである @Cryptolaemus1 もすぐに確認しています。
#Emotet Quick Recap - E2 start spamming around 1400UTC - shortly there after @nazywam @spamhaus alerted us to this. E2 was confirmed to be spamming attachment docs and links. E3 seemed to fire up next doing both forms of malspam and then E1. All of them were spamming at 1530UTC.
— Cryptolaemus (@Cryptolaemus1) 2020年7月17日
日本時間2020/7/17 23時(1400 UTC)頃からメール配信が始まったようです。Emotetの3つあるbotグループのうち、メインであるE2からはじまり、その後にE3,E1もメール配信が始まり全てのbotグループでメール配信が始まっています。その後7/18 7時(2200 UTC)頃まで続いたようです。
なお、活動休止中に何をしていたかというと、Emotetのバージョンアップを画策していたのではないか、と言われています。休止の直前にEmotetの実行ファイルの大きなバージョンアップがあり、これが意図した通り動いていないのでは、という憶測もありました。実際、幾つかテスト的な動きや変更は見れたものの、予想されたように大きくバージョンアップされることはなかったようです。
■変更点
2/7以前と比較して、以下の点が変わっています。
- デコイファイル(docファイル)の見た目
メールの添付ファイルまたはメール内のリンクからダウンロードされるファイルの中身の表示内容が新しくなっています。
(2020/10/19 追加) 表示内容が追加されました。
(2020/10/14 追加) 表示内容が追加されました。
(2020/09/30 追加) 表示内容が追加されました。
(2020/09/28 追加) 表示内容が追加されました。
(2020/09/24 追加) 表示内容が追加されました。
(2020/09/14 追加) 表示内容が追加されました。
(2020/09/05 追加) 表示内容が2種類追加されました。
(2020/09/01 追加) 表示内容が追加されました。
(2020/08/25 追加) 表示内容が追加されました。
(2020/08/11 追加) 表示内容が追加されました。
2020/07/17 - 2020/08/11, 2020/08/19-
- 感染ファイルのハッシュのユニーク化
端末がEmotetの実行ファイルに感染後、C2からファイルが更新される際にバイナリの一部が書き換えられ、端末ごとにハッシュが異なるハッシュに書き換えられるような処理が加わっています。
以前から言われていますが、hashの一致による検出というのはEmotetに対しても無意味です。
- (正確には2/6からの変更点)Emotetの感染後のファイル名と永続化の設定の変化
Emotetは端末に感染後、ファイル名を変えます。変更後のファイル名は2020/1ではハードコードされたリストの中から選択する形でしたが、現在は端末のC:\Windows\system32\フォルダにあるexeまたはdllのファイル名を選択するようになりました。
また、以前は変更後のファイル名を特定のレジストリ(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\配下)に書き込んでおり、これを調査することでEmotet感染有無を調べることが可能でしたが、現在ではこの設定は使われなくなり、感染の度に上記のフォルダ内にあるファイル名から選択され直します。
これにより、Emotet感染有無を確認可能なツールであったJPCERT/CCの「EmoCheck」はすり抜けられてしまいます。
→ 2020/08/11にEmoCheckがバージョンアップし、検知可能となっています。
■変わっていない点
- 感染手法
メールの添付ファイルまたはメール内のリンクからダウンロードされる.docファイルのマクロを有効化することで感染に至ることは変わりません。
感染しないためにはファイルを開かない、マクロを有効化しないことが重要な対策となります。
- PoserShellによる実行ファイル取得
docファイルのマクロを有効化するとPowerShellが実行され、外部サイトへアクセスしEmotetの実行ファイルを取得してくることも変わりありません。
PowerShellの引数から通信先を取得するには以下のツールで可能です。
CyberChef レシピ実装済URL (2020/10/22更新)
インターネットへのPowerShellによるアクセスをWindowsFirewallなどで制限することでも感染を防ぐことが可能です。
- 返信型メールとばらまき型メール
メールの本文は幾つかのテンプレートの中から選ばれるばらまき型メールと過去の正規メールの本文を窃取して会話している相手にメールを送る返信型メールがあります。
再開後のメールでも、既に同じようにどちらのパターンも確認されています。
EMOTET UPDATE | We are observing more activity coming from the #Emotet #Botnet today. We are seeing email traffic from this botnet again. Both URLs and Attachments are being utilized for distribution. #malspam #threatintel pic.twitter.com/9zrc9fWMlN
— Spamhaus (@spamhaus) 2020年7月17日
■日本への影響
既に、日本でもEmotetに感染するメールの受信を確認しています。
エモいのきた。 #Emotet https://t.co/2ZXPGRGy6p
— _roku_ (@00001B1A) 2020年7月17日
日本語ではありませんが #Emotet 来ました。
— さとっぺ (@satontonton) 2020年7月21日
Subject: Estimate R9334
Filename:Estimate.doc
Hash(MD5):a419ea9e968fb2d21f38927014a24210
Anyrun:https://t.co/BFYzqQJAhy pic.twitter.com/nFnbYPcXbY
また、国内のメールサーバ/メールアカウントを利用してメールを送信されることも確認しています。以前より国内外のリサーチャーらと協力し、そういったアドレスを収集し可能な範囲で被害者へ連絡を入れています。今回は活動再開後の数時間で20以上のアドレスが共有されました。(被害者には通知済です。)
これらのアドレスがどうやってEmotetに窃取されてしまったのかというと、2月以降も継続的にEmotetに感染したままだったと考えられます。(Emotetは一度感染した後も定期的に自身を更新し続けるため、アンチウイルスソフトにより検知・駆除することが困難です。)
Emotetは6月以降にメール情報を窃取するモジュールを感染端末で使用し始めていました。その時にメールアカウント情報が盗まれてしまい、メール拡散の基盤として悪用されてしまったのだと考えられます。
観測されている返信型メールでは、6月や7月に送受信したメールを悪用されているケースもあり、これも同じモジュールによるものと考えられます。
Emotetの攻撃者グループも活動再開をする準備を行った上で活動再開しているということが考えられます。
■活動再開後の動き
2020/07/17(金)に活動再開後、翌営業日の2020/07/20(月)の同じく23時頃より、再度Emotetに感染させるメールの送信活動を再開しました。
#emotet C2 binary update ~13:30 UTC 20200720
— Cryptolaemus (@Cryptolaemus1) 2020年7月20日
only E2 changes at the moment, update will follow
spamming on E1/E2 currentlyhttps://t.co/N6Y3ePaTRm
E1, E2が動いた1時間後からE3も動き出しました。金曜日はテストなのか以前に比べて配信ボリュームも小さかったですが、月曜日はより大きな配信量となっていました。
また、7/20(月)よりEmotetが他のマルウェアに二次感染させるようになりました。休止以前より活発に感染させていたTrickbotです。
TrickbotはGtagがmor113でした。過去2/7の時点ではmor93であり、休みの5ヶ月の間にも恐らくはEmotetからTrickbotへの二次感染は行われ続けていた(検知回避を目的としてTrickbotもEmotetによって約20回(約週1回)更新されていた)のだと考えられます。
#Trickbot observed on #Emotet, Epoch1. Gtag: mor113.
— James Quinn (@lazyactivist192) 2020年7月20日
Stay safe out there guys. I'll see if I can share the sample I have.
2020-07-20 (Monday) - Data dump: #Emotet infection with #Trickbot - includes an #Emotet only #pcap from Friday 2020-07-17 - and 14 examples of Emotet #malpsam (3 with attachments, 11 with links) from today (Monday) - https://t.co/uij4uSIyyf pic.twitter.com/qHkT2OMS2Q
— Brad (@malware_traffic) 2020年7月21日
二次感染するマルウェアは7/21 午後にはQbot (Qakbot) に変更されました。
17時頃にEmotetからQbotに二次感染するケースが確認されました。
— bom (@bomccss) 2020年7月21日
qbot のsamplehttps://t.co/6H4ZMl7ed7
配信手法にも変化があり、docの添付ファイルとメール本文のリンクからのdocファイルだけでなく、7/21には添付したpdfファイルに含まれるリンクからdocファイルへ誘導するタイプが出ました。
Proofpoint researchers have observed a shift in #Emotet payload delivery. Geos include #Argentina #Brazil #Canada #Chile #Ecuador #Mexico #US #UK. Malicious URLs are now being distributed in PDFs, in addition to maldocs & malicious URLs in email body.
— Threat Insight (@threatinsight) 2020年7月21日
メール配信で使用されるテンプレートの言語も、始めは英語だけだったものが、 スペイン語、フランス語、ポルトガル語、と日々増えています。
日本時間 7/21 のEmotetの動きは
— bom (@bomccss) 2020年7月21日
感染経路として
・docの添付ファイル
・メール内リンクからdocファイル
・pdfの添付ファイル内のリンクからdocファイル
メールの本文テンプレートは英語以外も出現(4言語)したが、日本語はまだ確認されていない。
しかし、返信型メールは日本にも既に着弾している https://t.co/xmLRDFw28b
<2020/07/23追記>
2020/07/23 8:30頃より、日本語の件名、本文、添付ファイルのEmotetに感染するメールが確認されました。
2020/07/23 8:30頃より、日本語件名の #Emotet のメールの送信を確認しました。
— bom (@bomccss) 2020年7月23日
以前にも来ていた、請求書系の件名です。https://t.co/LexHXzwDZU
ご注意ください。 pic.twitter.com/Ex78DN7PWT
【注意】#Emotet
— sugimu (@sugimu_sec) 2020年7月22日
日本語の件名、本文、添付ファイル名のメールを観測しました。
件名:請求書の件です。 17447 20200723
sample:https://t.co/bCx6BYdVmj pic.twitter.com/aJAsW2lKLC
幾つかのi日本語パターンを確認しました
— moto_sato (@58_158_177_102) 2020年7月23日
送信には窃取されたメールアカウントが使われているため、差し出しメールアドレスが異なる点に注意ください。 pic.twitter.com/cxpgkfwgjW
今朝届いた #emotet メールです。
— さとっぺ (@satontonton) 2020年7月23日
件名:請求書の件です (ランダムな数字)_(日付)
File:(件名と同じ).doc pic.twitter.com/itep2hBLAU
休止前に使われていたテンプレートが再度利用されるようになりました。以前の件名と添付ファイル名のパターンはこのようになりますが、今回も同様に以下のものが観測されています。
参考に活動休止前に確認されていた件名と添付ファイルは以下になります。
<2020/09/17追記>
活動再開後の9月時点での様子や日本語メールのサンプルについては共に「ばらまきメール回収の会」で活動している sugimu さんが記事にまとめてくれています。
Emotetの感染を狙ったメールに関する情報(2020-09-01観測) - 趣味のぶろぐ。
マルウェア「Emotet」の日本語メール集 - sugimuのブログ
※ばらまきメール回収の会についてはこちらを参照ください。
ばらまき型メールから日本を守る、知られざる善意の50人 | 日経クロステック(xTECH)
■今後の動き
総じて、Emotetは活動を再開した、と言って良いと考えられます。
これは、メール送信を再開した、ということだけではなく、サイバー犯罪グループとして利益を最大限巻き上げるための活動を再開した、という意味です。
そしてそのための攻撃活動は徐々に勢いを増していく、と考えられます。
Emotetは自身に感染させることでメール配信基盤を構築し、更に感染数を増加させます。5ヶ月の休止期間で多少は減ったであろう感染端末を再び取り戻すために感染数を増加させることに力を入れると考えられます。
それと同時に、メールを窃取することで、メールから文書を学習していこうとしているように感じられます。学習が終わった言語から、テンプレートが増えていくのではないかと考えられます。
1つ不思議な点として、活動再開後のメールテンプレートが非常に簡素なことです。返信型であれ、ばらまき型であれ、短くて種類も少ないです。活動休止前にはあんなにも巧妙なメールテンプレートを使っていたにも関わらず、それを再利用している気配がありません。
もしかしたら、EmotetのC2のメール情報を蓄えていたDB(で表現が正しいかは不明ですが)が意図的かは不明ですが初期化されたのかもしれません。それにより、イチからメール情報を学習し直しているのかもしれません。
もしそうであれば、日本語を学習されないためにも感染端末を増やさない、減らしていくことが重要です。
<2020/07/23追記>
Emotetの活動再開後、日本語のメールが使われる前から、感染端末と見られる数は日々増加しています。
そして、日本を明確に標的としたEmotetに感染するメールが確認されました。日本も標的としてますます感染端末数が増えてしまうことが懸念されます。
既に同じ組織内でEmotetに感染するメールを送りあって組織内の感染が増えてしまっているとみられるものも出てきています。
活動休止前に使われていたメールテンプレートの再利用も確認されました。 今後、ますますメールのテンプレートのパターンが増加してくることが予想されます。中にはとても巧妙なもの(件名:会議開催通知)もありましたので、注意が必要です。
■最後に
残念ながら日本国内には既に感染端末は多数存在します。感染による負の連鎖で感染端末が再び日本国内で爆発的に増加しないように、対策を取る必要があります。対策は休止前と何も変わりません。
個人としては、docファイルは開くかどうか特に注意する、マクロの自動実行は許可しない、デコイ文書の画像が見えたらマクロは有効にしない。
組織では、メールセキュリティ製品でマクロ付きdocファイルを規制する、PowerShellによる外部への接続を制限する、URLHausのfeed( https://urlhaus.abuse.ch/api/ )を取得しブロックリストに加える、感染拡大防止のために管理共有を無効化しておく、といった対策が必要です。
少しでも感染する機会が減ることを願っています。
