Emotetの再来:従来型との差異とは

"Emotet’s Return: What’s Different?" December 9, 2021 by PATRICK SCHLÄPFER (HP社マルウェアアナリスト)より 2021年11月15日、Emotetはほぼ10か月の休止期間を経て復帰して、現在、大規模な悪意のあるスパムキャンペーンで再び拡散しています。 Emotetの背後にあるマルウェア配布活動は、法執行機関によって2021年1月に中断され、活動は劇的に減少しました。 ただし、この落ち着きは一時的なものであったことが証明されており、Emotetの復帰は、ボットネットとその行為者らの回復力を示しています。 このマルウェアの復活の中で配布されている新たなバイナリで何が変更されたか疑問が生じます。この記事ではこれについて簡単に説明します。 2021年11月にHP WOLF SECURITYで隔離したマルウェア配布 11月、HPWolfSecurityの一部であるHPSureClick Enterpriseは、企業や組織に対する大規模なEmotet配布活動で配布されたマルウェアを隔離しました。 図1は、...

Emotetの再覚醒:JavaScriptダウンローダーの分析

Reawakening of Emotet: An Analysis of its JavaScript Downloader by Ratnesh Pandey, 2019年9月14日より EMOTETは進化しています。 2019年9月に活発化した配信活動での検体では、JavaScriptをダウンロードさせて実行させていました。 今回は、以前のバージョンよりも大幅に難読化されたEmotetの刷新されたJavaScriptダウンローダーを分析してみます。 2019年9月中旬のEmotetの配信活動の再開をうけ、Alex Hollandさんの前回のブログ投稿では、その動作の変更点を精査しました。 注目すべき変化の1つは、悪意のあるMicrosoft Wordダウンローダーの一部が、侵害の初期段階でJavaScriptをダウンロードさせて実行させていることです。 Emotetによってアーカイブ(.zip)ファイル内に仕込まれたJavaScriptダウンローダーを使用することは目新しいことではありませんが、9月の配信活動からの検体は、ダウンローダーの処理内容に更新があっ...

2019年9月に見られたEmotetの変更

2019年6月初旬にそれまでの配信活動がいったんなりをひそめたEMOTETが、同年9月に配信活動の再開が認識されました。● 活動休止前のサンプル群と新たなサンプル群とを比較するとEMOTETが機能面で複数の変更が加えられている事がわかりました。

Emotet (Part 3/3) : Emotet状態のゲーム

● Emotetバンキング系トロイの木馬に関する投稿シリーズの第三弾です。 ● 前回までにEmotetが仕込まれるメカニズムとその振舞いについて、動的分析をしてきました。 ● Emotetから得られたホストとネットワークに関するデータから、それ自身をサービスとして登録することで権限を昇格させ、ファイルシステムの様々な場所に存続し、最後にドロッパーファイルを削除することがわかっています。

Emotet (Part 2/3) : 捕まるもんなら捕まえてみな!

● Emotetは、指定されたタスクを実行するのに適切なディシジョンツリーベースのアルゴリズムを持った、高度にモジュール化されたバンキング狙いのトロイの木馬です。 ● 難読化されたペイロードを配信し、自己アップグレード可能なモジュールを介してその機能を拡張する能力から、Emotetは組織への標的型攻撃で一般的に使用されるペイロードランチャーになりました。 Emotetが複数の段階と、複数の経路での攻撃に使用されていることから悪名を上げています。

Emotet (Part 1/3) : PCにどのように感染するか

●もともとオンラインバンキング・マルウェアとして作成されたEmotetがBromiumユーザ企業で最も多く見つかっています。 ● PC上のBromiumが捉えているということは、その前段階の多層防御をすべてすり抜けてきたことを意味するため、警戒が必要です。 ●一般的なセキュリティ製品をすり抜けるために施された仕組みも含めて解説します。

ネットバンキング詐欺ツール Emotet:氾濫するモーフィック型マルウェアの解析

● ネットバンキング詐欺ツールの一種、Emotetが仕組まれた検体群を分析し、比較してみました。 ● マルウェア作成者は、侵害目的のプログラムを個々の潜在的犠牲者ごとに、一意の実行ファイルに再パッケージにする手 口で、シグネチャ方式での検出を回避します。 ● 再パッケージされドロップされた実行ファイルは、それまで存在しなかったものです。このため、アプリケーションの隔離と制御が重要です。 唯一の安全なアプローチである、検出に頼らない保護が必要です。

文書ファイルを開かなくてもプレビューでマルウェアが動き出す

マクロを悪用した手口は古く多数の対策も施されていますが、攻撃する側もセキュリティ機構の隙をつく新たな手口を次々と編み出します。 ユーザのセキュリティ意識や成熟度に依存しない手口は特に脅威です。 ファイルを開かなくてもマクロを開始させる手口を実在する検体をもとに解説します。

2019年サイバー脅威情勢予測

●侵害がより頻繁に、より一般的に、そしてより劇的に発生すると思われます ●セキュリティ業界が従来の攻撃手法を排除する方法を見いだす分、新たな攻撃手法が出現するでしょう ●人工知能(AI)と機械学習(ML)は、攻撃者と防御者の両方の掛け金を増やすでしょう ●防御側の「ゼロトラスト」と「PEBKAC対策」の加速が促進されます