Emotetの再来:従来型との差異とは

"Emotet’s Return: What’s Different?" December 9, 2021 by PATRICK SCHLÄPFER (HP社マルウェアアナリスト)より 2021年11月15日、Emotetはほぼ10か月の休止期間を経て復帰して、現在、大規模な悪意のあるスパムキャンペーンで再び拡散しています。 Emotetの背後にあるマルウェア配布活動は、法執行機関によって2021年1月に中断され、活動は劇的に減少しました。 ただし、この落ち着きは一時的なものであったことが証明されており、Emotetの復帰は、ボットネットとその行為者らの回復力を示しています。 このマルウェアの復活の中で配布されている新たなバイナリで何が変更されたか疑問が生じます。この記事ではこれについて簡単に説明します。 2021年11月にHP WOLF SECURITYで隔離したマルウェア配布 11月、HPWolfSecurityの一部であるHPSureClick Enterpriseは、企業や組織に対する大規模なEmotet配布活動で配布されたマルウェアを隔離しました。 図1は、...

コロナ問題で在宅勤務が急増中。この変化に企業のIT部門はいかに対応し、ビジネスの継続性、ITセキュリティと一貫性を保てるか?

リモート環境でのユーザ層が拡大することでのリスクの増加し、テレワークの必要性の影響に注目が集まる中、サイバー攻撃者は標的型のフィッシング攻撃活動を仕掛け出しており、いくつかのケースでは攻撃に成功しています。

ランサムウェアが文書ファイルとPowerShellの悪用でファイルレスで暗号化

WindowsやMS Officeに標準で実装されている機構の範囲で処理されるマルウェアが存在し、独立した実行ファイル類を持たないことから「ファイルレス」と呼ばれる分類になります。●こうしたマルウェアは従来の検知型のセキュリティでは問題の有無の判別が著しく難しくなります。●今回はBromiumで確保した実際の検体を分析することで、その構造を解き明かしていきます。

Emotetの再覚醒:JavaScriptダウンローダーの分析

Reawakening of Emotet: An Analysis of its JavaScript Downloader by Ratnesh Pandey, 2019年9月14日より EMOTETは進化しています。 2019年9月に活発化した配信活動での検体では、JavaScriptをダウンロードさせて実行させていました。 今回は、以前のバージョンよりも大幅に難読化されたEmotetの刷新されたJavaScriptダウンローダーを分析してみます。 2019年9月中旬のEmotetの配信活動の再開をうけ、Alex Hollandさんの前回のブログ投稿では、その動作の変更点を精査しました。 注目すべき変化の1つは、悪意のあるMicrosoft Wordダウンローダーの一部が、侵害の初期段階でJavaScriptをダウンロードさせて実行させていることです。 Emotetによってアーカイブ(.zip)ファイル内に仕込まれたJavaScriptダウンローダーを使用することは目新しいことではありませんが、9月の配信活動からの検体は、ダウンローダーの処理内容に更新があっ...

2019年9月に見られたEmotetの変更

2019年6月初旬にそれまでの配信活動がいったんなりをひそめたEMOTETが、同年9月に配信活動の再開が認識されました。● 活動休止前のサンプル群と新たなサンプル群とを比較するとEMOTETが機能面で複数の変更が加えられている事がわかりました。

検知より先に保護を確立:FlawedAmmyyと隔離の実例

メモリで直接実行してファイルを作らないファイルレス型、配信の都度形態を変える多態型、OS等に標準で実装されたモジュールを悪用する環境寄生型(LOLBins)などの手口により、従来からの検知を前提としたセキュリティは効果が薄れる一方です。● 一方で2年も前に認識された特定の脆弱性を悪用の多発も見れます。● 今回は高度な攻撃の一つの例であるFlawedAmmyyからBromiumが防御する様子も動画で併せてお伝えします。

Emotet (Part 3/3) : Emotet状態のゲーム

● Emotetバンキング系トロイの木馬に関する投稿シリーズの第三弾です。 ● 前回までにEmotetが仕込まれるメカニズムとその振舞いについて、動的分析をしてきました。 ● Emotetから得られたホストとネットワークに関するデータから、それ自身をサービスとして登録することで権限を昇格させ、ファイルシステムの様々な場所に存続し、最後にドロッパーファイルを削除することがわかっています。

おめでとう、Meterpreterシェルが当たりました

攻撃者の観点で攻撃を検出されないようにするには、仕掛けるマルウェアによるファイル作成やネットワーク上の動作を制限する必要があります。 ● この投稿では、検出を回避するためによく使われる二種の手法の例となる攻撃を分析していきます。

Emotet (Part 2/3) : 捕まるもんなら捕まえてみな!

● Emotetは、指定されたタスクを実行するのに適切なディシジョンツリーベースのアルゴリズムを持った、高度にモジュール化されたバンキング狙いのトロイの木馬です。 ● 難読化されたペイロードを配信し、自己アップグレード可能なモジュールを介してその機能を拡張する能力から、Emotetは組織への標的型攻撃で一般的に使用されるペイロードランチャーになりました。 Emotetが複数の段階と、複数の経路での攻撃に使用されていることから悪名を上げています。

マルウェアが自己デバックで分析を回避する

Twitterへの投稿を機に私たちの製品に関連するフォルダーを検索しているらしいマルウェアの存在を知りました ● 研究者による動作の把握を難しくするための特殊な構造をしていることが判り、さらにそれをひも解くことで、クッキーや資格情報を検索する動きもわかりました ● これらの試みも、マイクロ仮想マシン内に隔離するBromiumでは、危害をくわえることはできません。