Emotet対応トリアージのポイント解説(2022-03-30)-Webinar時

105.9K Views

March 30, 22

スライド概要

Emotet対応(220330)ver.0.9999999スライドです

profile-image

セキュリティの人

シェア

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

EMOTET 感染切り分けトリアージ対応 WEBINAR 2022/03/25

2.

はじめに • 今回のWebinarは、 『ユーザ企業の情報システム担当・情報セキュリティ担当向け』 に利用者が不審ファイルを開いてしまったという報告のような 「あやふや」な状況から、感染しているかどうかはどこを見たらよ いのか、感染していたらどうしたらよいのかを説明します • 検索するとEmotet相談とか無料調査とか出てきますが。。。そう いった火事場泥棒商売には騙されないよう正確な智識を習得し て貰うことを目的にしています

3.

AGENDA • Emotetの基本動作 • トリアージの実際 • 感染していたら。。。どうする? • 感染と被害拡大を防ぐために(予防措置) • 簡単なまとめ

4.

EMOTET 基本動作

5.

EMOTETの基本動作(ファイル編) 1. マクロを含むOFFICEファイル(例 : xlsm, xls)が接到 2. OFFICEファイルのマクロを実行する <- ダウンローダ 3. マクロが外部サイト(改ざんサイト)にEmotetを取得に行く <Emotet本体 4. Emotet本体は動作開始・永続化 C2サーバと通信する 5. C2サーバから追加機能や情報窃取の命令を受けとる 6. C2サーバに情報送信 <- 情報窃取 7. EmotetはBOTとなり、C2サーバに指令を取りに行く 8. Emotet本体は定期的にアップデートされる

6.

実効されるコマンド • 現在はこのような感じ • 通信先に順に接続して、取得ファイルを実行する単純なもの • これなら検知できるのでは?

7.

シート内の文字を「つなぎ合わせる」仕組み • 隠されたシートの中に入っている文字が数式で繋ぎ合わされて実 行される • マクロに危険なコードが直接入っているわけではないことから検 知が難しい。。。

8.

起動登録 • RegSvrはdllを起動する • Emotet本体はレジストリに 登録されて、永続動作しま す (現状のものは、です) https://support.microsoft.com/ja-jp/~

9.

EMOTETの基本動作(ネットワーク編) 1. 窃取されたメールアカウントからマルウェアメール接到 2. マクロを実行すると外部サイト(改ざんサイト)にEmotet本体を取得に 行く (直接・Proxy経由双方) 3. Emotet本体が動作し、C2サーバと通信する(直接・Proxy経由双方) 4. C2サーバに情報送信 <- 情報窃取 5. EmotetはBOTとなり、C2サーバへ指令をとりにいく(15分ごと) 6. メール送信の指令を受けると、他の窃取されたメールサーバにアク セスして、新たなEmotetメールを送信する拠点(bot)になる 7. メールアカウントを窃取されていた場合は、そのメールアカウントに 他のEmotet BOTがアクセスしてEmotetメールを送信させ拡散する

10.
[beta]
届いたEMOTETメールのヘッダ
• Received: from mail.example.com ([127.0.0.1])
•
by localhost (mail.example.com [127.0.0.1]) (amavisd-new, port
10026)
•
with ESMTP id Z34LstaQTEDI; Tue, 29 Mar 2022 08:35:08 +0600
(+06)
• Received: from [101.78.224.**] (unknown [101.78.224.**]) ←Emotetに感染してbot化した端末のIP
•
by mail.example.com (Postfix) with ESMTPSA id 693B462EC6531
•
for <[email protected]>; Tue, 29 Mar 2022 08:35:08 +0600 (+06) ←盗まれたメールアカウントにアタッチ
• Date: Tue, 29 Mar 2022 10:35:09 +0800
• From: "John" <[email protected]>
←メール配信に使われた乗っ取ら
• To: "" <[email protected]>
れたメールアカウント
• Subject: RE:
• MIME-Version: 1.0

11.

感染した場合の影響 • 感染した場合の影響 A 感染した Aのメールアカウント情報 Aのアドレス帳 アドレスを窃取 Aのメールサーバ Aのアドレス帳 にはDの宛先 Aの送受信したメール Aのメール文面を元にした 攻撃メール Cのメールアカウント情報 Cのメールアカ ウントを悪用し て送信 A-D間でメールの やり取り有り 【受信者から見ると】 メールの差出人:Aの氏名 メールアドレス:メールアドレ スC メール本文:AとDの過去メー ルの履歴あり C2サーバー D C Aのメール文面 を元にした攻撃 メールを送信 Cのメールサーバ 感染している B 感染している

12.

要約 1. マクロ入りファイルくる 2. マクロ実行する 3. Emotet本体取得する 4. Emotet C2と通信する 5. Emotet C2へ情報送信する <- ここで明確な被害 6. Emotet C2へ命令を取りに行く 7. Emotetメールをばらまく手伝いをする<- 間接加害 8. メールアカウントもEmotetメールをばらまく <- 直接加害

13.

タイムライン(だいたい、5分くらい) 感染メールばらまき 端末 & メールアカウント EmotetC2 と通信 情報窃取 エンドポイント対策 Emotet本体取得 マクロ実行 ネットワーク対策 Ofiiceファイル開封 Emotetメール接到

14.

トリアージ説明の前に • どの段階に進んだか、で対応が異なるけれど。。。 • もちろん、対応負荷を考えず、切り分けをせず予兆把握だけで安 全策として端末対応のすべての対処をしてしまうことも選択肢とし てある(問答無用で以下の対応をしてしまう) 1. 感染端末からデータを別端末に移し、同端末は初期化 2. 感染者のメールアカウントのパスワードを変更 3. 感染端末内のブラウザに記録させていたID/パスワードを変更

15.

トリアージ の実際

16.

ノーガードじゃないよね? • 最低でも、ウイルス対策ソフト入っていますよね? • お金がある組織だと、EDRも入っているかも • リアルタイムで検知して、隔離する設定になっていますか? • パターンは常に最新に更新するようになっていますか? • 運が良ければ(パターン対応が早ければ、仕組みによれば)、ウイ ルス対策ソフト/EDRがブロックしてくれます (ただし、報告を聞いていると100%安心できる製品はない)

17.

さらにUTMやセキュアプロキシがあると 1. マクロを実行してしまっても、Emotet本体のダウンロードを阻止 できている可能性があります 2. Emotet本体がダウンロードされていても、Emotet C2との通信を 阻止できている可能性があります • マクロが実行されてしまっても、通信のセキュリティ管理策でぎり ぎり助かることも 見るべきところはセキュリティ製品のログと実機の双方

18.

1.初期トリアージ準備 • <初期対応> • ※本人からの開封申告時や、ウイルス対策ソフト、EDRによる検 知等に起因する対応開始 ✓端末をネットワークから切断する ✓メールパスワードの変更 • メールアカウントが窃取されていた場合、攻撃メールのばらまき に使われるため予防措置として実施してください(最悪を想定して、 リスク拡大防止で切り分け前に変更することはありと考えます)

19.

2.状況ヒアリング • <開封状況確認> ✓本人への開封状況確認 • Word/Excelが開いたか、マクロを有効にしたか(編集を有効にしたか)を 確認。編集を有効にしていたら以降の確認で痕跡が見つかる可能性 が高い。焦って閉じたとか、zipを展開しただけ、のこともあるので、状 況確認ができればしたほうがよい • 例えば、メールサーバ側で無害なtxtに置き換えられていることもある • マクロ実行まで至っていないとの心証を得ると後の作業が気楽 • 複数同時多発開封があった際に優先度をつけられる

20.

3.端末確認(ツール) • Emocheckが有効!! • ただし、対策をとられてしまう可 能性もある • 必ず、他の確認項目と併用を!! • 開封したユーザで実施を!! (別ユーザでログインすると Emotetが起動しない) • https://github.com/JPCERTCC/Em oCheck/releases

21.

EMOCHECKの実施手順は? • 警視庁からEmocheckサイトに辿りつくと ころからスタートする細かい手順書が公 開されています • https://www.keishicho.metro.tokyo.lg.jp/ kurashi/cyber/CS_ad.files/EmoCheck.pdf

22.

3.端末確認(視認) • C:Users¥ユーザ名¥Appdata¥Local¥乱数¥乱数 • C:¥Windows¥SysWOW64¥乱数¥乱数 • にEmotet本体が生成されます 通常の感染では上。 Emotetを管理者権限で実行した場合のみ、 下に置かれ、サービスに登録される • それぞれ隠しファイルになっているので、上のフォルダやドライブ 単位で隠しファイルを外しましょう

23.

隠しファイルの出し方(1) • Cドライブを開いて、メニューバーの「表示」をクリックして出てくる 「隠しファイル」にチェックをいれるか。。。

24.

隠しファイルの出し方(2) • 同じくCドライブを開いて、メ ニューバーの「表示」をクリックし て出てくる「オプション」から、メ ニューを出して表示タブの中か ら、「隠しファイル、隠しフォル ダー、および隠しドライブを表示 する」にチェックをいれます

25.

ありました

26.

3.端末確認(プロセス) • Emotetが動作しているかどうか、プロセスも確認します • タスクマネージャを起動して確認しますが、そのままでは見つけ づらいですね。カラムを右クリックして「コマンドライン」を出します

27.

動いていました • Regsvr32が、該当のファイルを呼び出し

28.

ここまで調べてヒットしたら。。。 • 確実にEmotet本体のダウンロードに成功して、動作している状況 と考えられます • もう終わり。。。ではなくまだ救いはあるので、続いて、通信ログの チェックに移ります • が、ログ確認の前に、ウイルス対策ソフトやEDRがうまく働いてく れたらどのような状況になるか確認してみます

29.

4.ウイルス対策ソフトログ確認 • これらは何が起 きたか? ① ➁

30.

検知結果を読み解く(1) • ①はOutlookのキャッシュ プレビューか添付をダブルリックした状態で、隔離された可能性 が高い • ➁はデスクトップで検知している。パスワード付zipを展開した際に 隔離された可能性が高い

31.

検知結果を読み解く(2) • ついでにこれは? • プロセスを停めているから。。。Emotet本体を停めた?

32.

誤検知祭りの時のもの • 2021年12月1日に大ア ラートストームを発生さ せ、しれっとパターン修 正されました • (だから、「自動化」なん て怖くてできないんだ よ。。。)

33.

ウイルス対策 / EDR • このように、どのタイミングで、どこで検知したか、を確認すること で状況が見えてきます • リアルタイムスキャン -> 動作を停めてくれた可能性がある オフィスファイルを隔離している -> 動作前にブロック? Processを停めている -> 動作しようとしてブロック? -----↑助かったかも ↓感染している可能性あり----- • 定期スキャン -> リアルタイムスキャン実行時に検知できなかった ファイルを検知した可能性がある キャッシュやメールファイルではない場所でファイルを隔離してい る -> 動作させた残骸かも? Processを停めた -> 動作しているものを停めた?

34.

5.ネットワークログ確認 • プロキシ・FWがあり、外部への通信が記録されている状況だと、 さらに切り分けが詳細になります Emotet本体取得(ワンショット) EmotetC2との通信 (継続)

35.

ブロックされていても安心できない 過去には12-15くらいの時もあった ので、今後変化する可能性に注意 • 現在、Emotet本体を取得するURLは 7個セット です • この全てが停まっていないと、Emotet本体のダウンロードを停めること はできていません • SOCによっては、一つ二つのブロックの報告で早計して弱めのアラート が来ることがあるので注意です(ブロックされた、と安心してはダメ)

36.

通信先はどうやって知る? • 通信先確認方法(本体ダウンロード) : URLhauseから確認 https://urlhaus.abuse.ch/browse/tag/emotet/ • 通信先確認方法(Emotet C2) : Feodo Trackerから確認 https://feodotracker.abuse.ch/browse/emotet/ • この二つのリソースが今は非常に有効です

37.

もしくは • 確実にマルウェア検体とわかって いる場合は、Hatching Triageで通 信先を解析する方法があります • 必ず「検体だけ」投入してください (メールをいれないように) • 誰もが見られる環境だと意識して 普段の判別には使用しないよう にしてください(解析環境として使 いたい場合は、有料のプライベー トオプションがあります) • なお、Emotet C2は解析時のもの になるので、加除ある点に注意で す tria.ge

38.

ちなみにトリアージ不要(感染確定)のケース • 外部SMTPへの大量アクセスが発生して気づく • 内部の端末から外部SMTP(25や587ポート)へ通信していた・通信しようとして拒 否されていた • 大量のエラーメッセージで気づく • 不着メールなどのバウンスメールを大量に受信した • 外部からの通知で気づく • JPCERT/CCや警察からの連絡 • 多くの場合、感染者のメールアドレスがわかるため、どの端末が原因 かは容易です。「感染していたらどうする? 」の項目の対応をしてから、 いつ感染したんだ?という遡り分析(解剖?)をする調査をします

39.

動かなくてもよいケース • あなたの会社を騙ったメールが来た • 感染しているのではないか? ->可能ならメールヘッダ・送信元アドレスを送ってもらう • 多くの場合、盗まれたアドレス帳の情報で騙られていることが多い

40.

なりすましメール送信の仕組み • なりすましメールの見掛けの送信者が感染しているとは限らない 感染していない 感染している B A メールのやり取り有り Aから受信 したメール Bのアドレス帳 にはAとCの宛先 Aのメールアドレスや文面 B-C間でメールの やり取り有り 感染している A-C間でメールの やり取り無し Emotetに感染させるメール送付 X Xのメールサーバ C 【受信者から見ると】 メールの差出人:Aの氏名 メールアドレス:メールアドレ スX メール本文:過去メールの本 文なし

41.

感染していたら どうする?

42.

対応 <マクロ未実行や隔離成功> 1. 端末はそのまま継続して使ってよい <マクロ実行だがEmotet本体の取得なし> 1. (悩ましいが安全に倒すなら)感染端末からデータを別端末に移し、同端末は初期化 <Emotet本体取得/Emotet C2への通信無し> 1. 感染端末からデータを別端末に移し、同端末は初期化 <Emotet C2への通信あり> 1. 感染者のメールアカウントのパスワードを変更 2. 感染端末内のブラウザに記録させていたID/パスワードを変更 3. アドレス帳を確認(被害範囲の推定) 4. 感染端末からデータを別端末に移し、同端末は初期化

43.

環境依存の被害 • メーラーがないです!!(OutlookもThunderBirdも使っていません) -> メール・アドレス帳をとられていないかも ->でもウェブメールだとブラウザからID/パスワードは盗まれてい る • さらに、ブラウザがないです!!(それは信用しない) • ちなみに、たまにスマホで開きましたが大丈夫ですか?という質 問がありますが、Emotetと確実にわかっていれば、スマホには影 響しません(Windows Phoneだとどうなるのか少しだけ興味はある けれど今や気にしなくてよい)

44.

参考 • ブラウザからどの認証情報が盗 まれたかの確認 • このソフトウェアの結果に近い • フリーソフトなので利用には注意 https://www.nirsoft.net/utils/web_ browser_password.html

45.

盗まれた情報は取り返せないし消せない • その端末から窃取されたアドレス帳やメール本文を使って、同一組織内や取引先・ 顧客等にマルウェアールが送信される可能性があります。そのため、社内には更な る注意喚起をして、同種のメールに注意するよう強く周知します • 外部からの問い合わせがあることを想定して問い合わせ対応体制と内容を決めて ください(相手は感染を知らないのではないかと親切心で連絡してくれていることが 多いです) • • • • Emotet感染があったこと 端末は特定して対応したこと ご迷惑をおかけしていることの謝罪 等が通知者に伝える項目として考えられます • 社会的影響が大きい(大量のアドレス帳の流出)や、取引先との秘匿性の高い情報 が取得された可能性がある場合は、直接の該当者への連絡や事案の公表も検討 してください

46.

でもこれだけ、 ではない • フォローアップマルウェ アの確認が必要!!

47.

フォローアップマルウェアとは? • Emotet本体に続いて送られてくる「後続」のマルウェアです • これらは「顧客」の要請に応じて送られていると想定され、特に、 攻撃者が狙う国別にマルウェアの種類が異なる傾向があります • 現在追加されることがあるマルウェアのCobaltStrikeは、Emotet攻 撃者自身のもののようですが、顧客の要請に基づいていると考え られるフォローアップマルウェアとして、SystemBCと、Qakbotが最 近観測されています

48.

フォローアップマルウェア • Cobalt Strike • SystemBC • Qakbot(a.k.a. Qbot, Quakbot) • どのマルウェアもウイルス対策ソフトで検知されることが期待され ますが。。。除外フォルダに狙っておかれることも • 現在は、Emotet本体が設置されたフォルダと同じ場所に保存され こともあるので、感染以降に作成された実行ファイルが怪しいと いえますが。。。場所は不安定

49.

じゃあどうやって調べる? • Emotet本体が動作し、Emotet C2との通信が発生している端末に しかフォローアップマルウェアは設置されません • 一つの方法としては、Emotetに限らず今までのマルウェア感染切 り分けと同様に ・作成日時 : でドライブを検索し怪しいファイルを探す ・プロセスを確認して、異常な実行場所から起動されている実行 ファイルを探す

50.

一応、特徴はあるが変化するかも。。。 • SystemBCはtaskeng.exeで実行 • 本体は以下のフォルダに置かれる • C:¥ProgramData¥(ランダムな文字列)¥(ランダムな文字列).exe • Qakbotはタスクスケジューラにワンタイムで登録されて実行 • 本体は以下のフォルダに移動される • C:¥Users¥(ユーザー名)¥AppData¥Roaming¥Microsoft¥(ランダムな文字 列) • C:¥ProgramData¥Microsoft¥(ランダムな文字列)¥(ランダムな文字列).(ラン ダムな文字列拡張子) • 更にこのフォルダをWindowsDefenderの除外設定に追加する

51.

PROCESS EXPLORERの活用 • Microsoft Sysinternalのプロセ スエクスプローラ • プロセスの情報を詳細に把握 できるツールですが。。。 https://docs.microsoft.com/jajp/sysinternals/downloads/proc ess-explorer

52.

VIRUS TOTALとの連携機能 • [Options]の中の、VirusTotal.com連携をチェック

53.

VTでのスコアが表示される!! • 要インターネット接続環境なので、Emotet本体の動作が確認され た端末で実施する際には、Emotetの動作プロセスを停止して行っ てください

54.

通信先で知る(1) • フォローアップマルウェアについては、現在、ある程度決まった検体・ 通信先があります • Cobalt Strike (攻撃者オリジナル?) 139.60.161.* 23.81.246.* • System BC 96.30.196[.]207:4177 45.32.132[.]182:4177 • さらにCobalt Strike 213.252.245[.]84:80 84.32.188[.]189:80

55.

通信先で知る(2) • Qakbot (とてもC2が 多い) https://tria.ge/220323rwqb3acabl

56.

追加

57.

フォローアップマルウェアの何が怖いの? • 簡単に遠隔操作を許してしま います • このまま侵攻されて、ADが 乗っ取られ、サイバーランサム にかかる可能性も。。。 • 前回のEmotet流行時には、攻 撃者は、自動情報収集・自動 攻撃スクリプトを使って攻略し ていました

58.

対策は。。。 • イントラでもサーバのセキュリティパッチをあてよう • ユーザセグメントからADのRDP繋がらないようにしよう • ADのRDPのポートを変えておくとちょっと緩和策 • 管理者の認証は内部でもMFAにしたり、接続するマシン制限した り。。。 • などなど、「こつこつ」システム全体を要塞化をしていくしかありま せん

59.

変化球に注意!! • Emotetの「ような」やり方でマルウェアメール拡散してくる「別の攻 撃者」がいることに留意しておかなければ、感染を見逃す可能性 があります

60.

このケースでは。。。 • .isoのファイルが添付されていました。これ はディスクイメージファイルで、USBメモリの ようにドライブとして扱われます(Windows 7 から、isoファイルはダブルクリックをすると 自動的にドライブとして認知される) • Documentのショートカットを起動すると、 main.dllの本体が動作する仕掛けです

61.

ISOファイルだけではない • このサンプルはIcedID/bokbotと呼ばれるマルウェアでした • 添付ファイルがisoだとこのマルウェアだ、というわけではなく、過 去にはEmotetのようにOffice マクロで拡散されたこともあります

62.

どうやって見分けるの? • Emotetと思って対応していて、Emotetに感染していないと判断し たが実はIcedIDだった、という状況は避けたいところです • どうやって見分けるか。同様のメールにおいて、まずIcedIDは絶 対数が少ないことがあげられます。また、メール差出人のヘッダ を確認すると、過去のこの傾向は現在も継続していました。

63.

感染と被害拡大を防ぐ ために(予防措置)

64.

なんとか食い止めたいけれど。。。 • パスワード付きzipをはじけば。。。 ->オフィスファイルそのまま添付 • マクロをすべて無効に。。。 ->業務で使われているマクロ、案外多い • よし、添付ファイルはすべて隔離。。。 ->URLリンク型が接到し始めました • マルウェアメールの流入を完全に設定ではじくのはビジネス影響 もありなかなか難しい

65.

通信先 • 通信先制限(FW & Proxy) 毎朝・毎夕がおすすめ Emotet本体のダウンロード「新規ドメイン」をブロック (https://urlhaus.abuse.ch/browse/tag/emotet/) ※ドメインにしているのは、再利用別パスもあるため EmotetC2の「新規IP」をブロック • 当該ドメイン/IPへの通信が発生したらリアルタイムアラートを出したり、 さかのぼって一日のログを検索すると素敵 • ちなみに変更頻度は朝7-9時、夕方3時-6時、夜11-1時 土日はお休み

66.

ネットワーク制限二つ <ばらまき指令を送らない対策> • 内部セグメントからSMTP/POP/IMAP等にアクセスする場合は、ア クセス先のIPを指定してFWで許可する • 許可されていないSMTPへアクセスしようとする拒否ログが増えた ら確認 <ばらまかない対策> • SMTP/POP/IMAPでも多要素認証にする • MS365のExchange Onlineはレガシー認証では多要素認証はサ ポートしていないので、そもそもオフにしてほしい(空いているとブ ルートフォースされまくります & ロックされません)

67.

簡単なまとめ 時間がないと思うから 説明しないよ

68.

EMOTETの主要な動作と防御策の効果の概観(1) [接到時] • マルウェアを呼び込むマクロが含まれたOfficeファイル(例 .xlsm, . xls)が添付されたメールが届く(パスワード付zip圧縮されている 場合あり) • メールは他の感染端末から盗んだ情報が使われているため、過去メー ルへの返信や知り合いを装った偽メールが送られてきます • よく確認をすると差出人とは異なる(乗っ取られた)メールアドレスから送 信されていることがわかります(ごく稀に一致することがあり) ✓ メールサーバのセキュリティ機能により、添付ファイルが無害なテキスト に置き換えられていることもあります

69.

EMOTETの主要な動作と防御策の効果の概観(2) [開封時] • Excelファイルを開くと[コンテンツの有効化]が表示されます !ここで異常に気づいて当該ファイルを閉じた場合は感染しません! ✓ ウイルス対策ソフトのリアルタイムスキャンが有効な場合は、ここで検知 に成功して隔離されることがあります ✓ 圧縮ファイルを展開した際にも、ウイルス対策ソフトのリアルタイムスキャ ンが有効な場合は、ここで検知に成功して隔離されることがあります ✓ プレビューモードになった場合も、ウイルス対策ソフトのリアルタイムス キャンが有効な場合は、ここで検知に成功して隔離されることがあります

70.

EMOTETの主要な動作と防御策の効果の概観(3) • [コンテンツの有効化時] • コンテンツの有効化を実行してしまった場合、マクロが実効され、 Emotet本体をインターネット経由で取得に行きます ✓ Emotet本体は乗っ取られたサイトに設置されており、ほぼ毎日変更されていま す(最近では複数回) ✓ EDRを導入している場合、このダウンロードの過程の動作で異常が検知されて 停止することがあります ✓ セキュアプロキシやセキュアDNSを導入している場合、Emotet本体のダウン ロードの過程で通信がブロックされることがあります ✓ ただし通信先は複数あり、順に通信するため全ての通信がブロックされていな いと防御効果はありません ✓ Emotet本体は暗号化されているため、経路でのマルウェアスキャンでの検出は 期待できません

71.

対応スピード • 通信先にセキュリティ会社が対応できるのは、30分から1時間後く らい • 改ざんされたサイトにEmotet本体が設置されるため、初期段階で 通過してしまうことが多い • つまり、セキュアプロキシ、セキュアDNS、UTMの異常通信検知な どを当初はすり抜けてしまう可能性が高い

72.

EMOTETの主要な動作と防御策の効果の概観(4) • ・ダウンロードされたEmotet本体は、下記のいずれかのフォルダ に復元されて動作を開始します ✓ ウイルス対策ソフトのリアルタイムスキャンが有効な場合は、ここで検知 に成功して隔離されることがあります ✓ EDRでも、異常なサービスの登録として検知に成功して停止できることが あります • ・C:Users¥ユーザ名¥Appdata¥Local¥乱数¥乱数 • ・C:¥Windows¥SysWOW64¥乱数¥乱数

73.

EMOTETの主要な動作と防御策の効果の概観(5) • ・Emotet本体はC2サーバ(指令サーバ)に接続を試みます ✓ セキュアプロキシなどを導入している場合、このEmotet C2への接続時点で通 信がブロックされることがあります ✓ ただしEmotet C2サーバは複数あり、順に通信するため全ての通信先がブ ロックされていないと防御効果はありません ✓ セキュアプロキシ等の効果によってここで停止した場合は、Emotet本体に感 染しても、後続の情報窃取は食い止められたと考えられます ✓ Emotet C2はIPのため、セキュアDNSは効果ありません

74.

ここまでで食い止められなかったら「被害発生」です • Emotet C2から追加機能を入手して動作させ、情報を窃取し、Emotet C2サーバに情報を送信します • メールクライアント(主要メーカーに対応) -> メールアカウント・パスワード窃取 • ブラウザ(主要メーカーに対応) -> 記憶させたアカウント情報をURLと共に窃取 • Outlook ->メール本文窃取・アドレス帳窃取 • 感染端末はBOT化して、攻撃をメール送信する命令をEmotet C2サー バから受けて動作します • 他の被害者から窃取されたメールアカウントで、メールサーバに接続して Emotet マルウェアメールを送信します ✓ 社内からの外部サーバへのSMTP接続をブロックしている場合、拡散活動は防 止されます

75.

みなさま引き続きご安全に!! ありがとうございました (ねこモデル ねこさんちのアンちゃん) あと、ばらまきメール回収の会の皆さん レビュー多謝!!