2023年3月に活動を再開した「Emotet」マルウェアの検知について
更新履歴
2023年3月14日 初版発行
2023年3月16日 冒頭にIPAのリンクを追加、パート1にTrellix (旧FireEye)社のHXの検証結果を追加、パート2 OneNote型Emotetへの対応を記載、パート3 セキュリティ製品以外での対策例について追加
2023年3月17日 パート1Trellix(旧McAfee)社のENS 脅威対策(AV)、ENS 適応型脅威対策(NGAV)に、検証日および最新状況について確認中である旨を追加
2023年3月20日 Trellix(旧McAfee)社のパート1の結果を変更/パート2に検証結果を記載、Netskope社のパート1/パート2の記載を変更、パート2にTrellix (旧FireEye)社のNXの結果を記載、検知不可の製品については弊社検証日を追加
2023年3月23日 Broadcom社の検証結果をパート1/パート2に記載
2023年4月14日 IPAのリンクURLを変更、Skyhigh Security社のパート1/パート2の検証結果を修正・追記
はじめに
2023年3月7日、約4ヶ月ぶりにEmotetの活動が再開しました。
Emotetは一定期間の活動と活動停止を繰り返しており、活動再開時には挙動や攻撃手法を変更してくる事が珍しくありません。今回はEmotet感染の起点となるOfficeファイル※1やマクロ実行後に外部より持ち込まれるEmotet本体※2のファイルサイズが500MB超と意図的に大きくされています。
※1:メール上ではZip圧縮されており1MB未満のサイズでメール添付されていますが、それを解凍すると500MB超のOfficeファイルが現れます。Zipはパスワード圧縮では無いため、最近普及したパスワード付きZipの受信を拒否するという対策も回避されています。
※2:Emotet本体のファイルについても同様にZipで外部サイトから1MB未満のサイズで端末にダウンロードされ、それが解凍され500MB超のEmotet本体が現れます。
セキュリティ製品ではサイズが大きいファイルへの検査がうまく行えないこともあり、メール検査やファイルダウンロード時、エンドポイント上での検知を逃れるための工夫と考えられます。
また、2023年3月16日には、Emotet感染の起点となるファイルが従来のWordやExcelなどのOfficeファイルからOneNote(拡張子 .one)へ変化しました。OneNote経由での感染拡大はここ最近、攻撃者に好んで悪用される手法です。
そのような状況を受け、改めて弊社取扱製品での検知状況の確認を行いましたので、パート1、2で結果を共有させていただきます。また、パート3ではセキュリティ製品の検知力に依存しない対策も整理しておりますので、ご一読いただければ幸いです。
パート1.弊社取扱製品における500MB超のファイルへの検出状況の確認
パート2.弊社取扱製品におけるOneNote型の検出状況の確認
パート3.セキュリティ製品以外での対策について
なお、Emotet自体の攻撃手法や最新動向はJPCERT/CCやIPAの情報を確認するようにしてください。
https://www.jpcert.or.jp/at/2022/at220006.html
https://www.ipa.go.jp/security/security-alert/2022/1202.html
パート1.弊社取扱製品における500MB超のファイルへの検出状況の確認
以下は、弊社で入手したEmotetやお客様の環境で確認された事例をベースに、前述のEmotet の攻撃の流れの各ステップ(①~⑥)に照らして記載しております。新たな攻撃手法が発生した際には結果が変化する可能性がありますことご留意ください。
①添付ファイル付きメールが配送される
②ユーザがメールに添付されたWordファイルなどのOffice文書を開封
③ユーザがマクロの有効を許可
④マクロ経由でEmotet本体をダウンロードされる
⑤Emotet本体がRegsvr32経由で実行される
⑥Emotet マルウェアに感染する
メーカ(50音順) | 製品名 | 検証結果 |
Broadcom | Web Security Service | ④Emotet本体のダウンロード時に検知・ブロック可能 |
CrowdStrike | Falcon | ⑤ マクロ経由で起動したRegsvr32が、悪性のファイルをロードする動作を検知・ブロック |
Sandbox | docファイルはエラーが発生し分析不可 Emotet本体は分析・検知可能 ※3/13時点の弊社検証結果 |
|
Island | Island Enterprise Browser | ②送付された添付ファイルをブラウザ経由で閲覧した場合は検知され、安全な閲覧が可能 |
Menlo Security | Mail Isolation | ②添付ファイル内容の安全な閲覧および検知が可能 |
Netskope | Threat Protection | ④Emotet本体のダウンロード時に検知・ブロック可能 |
Proofpoint | Email Protection | ①メールに添付されたファイルの解凍後のサイズにより検知・ブロック可能(デフォルト設定では50MB) |
TeamT5 | ThreatSonar | ⑥スキャナ実行により感染端末の検出が可能 |
Trellix(旧FireEye) | EX/ETP | ①メールに添付されたファイル解析時に検知・ブロック可能 |
AX/VX/FX | ①メールに添付されたファイル解析時に検知可能 | |
NX | ④Emotet本体のダウンロード時に検知・ブロック可能 | |
HX |
③マクロ実行後の不審な挙動を検知・ブロック可能 |
|
Trellix(旧McAfee) | ENS 脅威対策(AV) |
|
ENS 適応型脅威対策(NGAV) |
|
|
Trellix EDR | ⑤マクロ経由で起動したRegsvr32が、悪性のファイルをロードする動作を検知可能 ※3/10時点の弊社検証結果 |
想定シナリオの検証
以前は添付ファイルではなく、メールに記載されたURL経由でEmotetの感染トリガーになる不正なOfficeファイルを配送する手法もみられていました。3月7日に活動再開して以降、本記事執筆時点では観測されていませんが、念のためこのシナリオの検知状況の確認も行いました。
①Webサイト上からZip圧縮された不正Officeファイルのダウンロード
②Webサイト上からZip圧縮されていない500MB超の不正Officeファイルのダウンロード
メーカ(50音順) | 製品名 | 検証結果 |
Broadcom | Web Security Service |
①、②共に検知・ブロック可能 |
Cato Networks | Next Generation Anti-Malware | ①検知可能 ②検知不可 ※3/10時点の弊社検証結果 |
Menlo Security | Web Isolation | ①、②共に検知可能 |
Netskope | Threat Protection | ①、②共に検知不可 ※3/10時点の弊社検証結果 ※ただし上記④で検知 |
Skyhigh Security | Secure Web Gateway(Cloud)(GAM・ATD) |
|
Secure Web Gateway(On prem) |
①、②共に検知・ブロック可能 |
また、メール等で受信したファイルが社内の共有ストレージにアップロードされた場合も想定した検証も行いました。
①Zip圧縮された不正Officeファイルのアップロード
②Zip圧縮されていない500MB超の不正Officeファイルのアップロード
メーカ | 製品名 | 検証結果 |
Box | Box Shield | ①検知不可 ※3/10時点の弊社検証結果 ②検知可能 |
パート2.弊社取扱製品におけるOneNote型の検出状況の確認
以下は、弊社で入手したOneNote型Emotet事例をベースに、攻撃の流れの各ステップ(①~⑥)に照らして記載しております。新たな攻撃手法が発生した際には結果が変化する可能性がありますことご留意ください。
①OneNoteが添付されたメールが配送される
②ユーザがOneNoteを開封し表示された「特定箇所をダブルクリックしてください」の指示に従う
③ユーザがスクリプト実行前の警告表示でOKを押してしまう
④スクリプト経由でEmotet本体をダウンロードされる
⑤Emotet本体がRegsvr32経由で実行される
⑥Emotet マルウェアに感染する
メーカ(50音順) | 製品名 | 検証結果 |
Broadcom | Web Security Service | ④Emotet本体のダウンロード時に検知・ブロック可能 |
CrowdStrike |
Falcon | ④onenote.exeからwscript.exeが起動した動作を不審な挙動として検知・ブロック |
Sandbox | 検知不可 ※.oneファイルはサポート外 ※3/16時点の弊社検証結果 |
|
Island | Island Enterprise Browser | ②送付された添付ファイルをブラウザ経由でダウンロードした場合、検知されブロックされる |
Menlo Security | Mail Isolation | ②添付ファイル内容の安全な閲覧および検知が可能 |
Netskope | Threat Protection | ④Emotet本体のダウンロード時に検知・ブロック可能 |
Proofpoint | Email Protection | ①メールに添付されたファイルの検知・ブロックが可能 ※.one拡張子指定での受信拒否設定も可能 |
TeamT5 | ThreatSonar | ⑥スキャナ実行により感染端末の検出が可能 |
Trellix(旧FireEye) | EX/ETP |
①メールに添付されたファイルの検知・ブロックが可能 |
AX/VX/FX |
①メールに添付されたファイル解析時に検知可能 |
|
NX |
④Emotet本体のダウンロード時に検知・ブロック可能 |
|
HX |
④スクリプト実行の警告を許可後の不審な動作を検知・ブロック可能 |
|
Trellix(旧McAfee) |
ENS 脅威対策(AV) |
④スクリプト実行の警告を許可後の不審な動作を検知・ブロック可能 |
ENS 適応型脅威対策(NGAV) |
④スクリプト実行の警告を許可後の不審な動作を検知・ブロック可能 |
|
Trellix EDR |
④スクリプト実行の警告を許可後の不審な動作を検知可能 |
想定シナリオの検証
OneNoteファイルを、メール中のURL経由で配送する手法は本記事執筆時点では観測されていませんが、念のためこのシナリオの検知状況の確認も行いました。
①Webサイト上からZip圧縮されたOneNoteファイルのダウンロード
②Webサイト上からZip圧縮されていないOneNoteファイルのダウンロード
メーカ(50音順) | 製品名 | 検証結果 |
Broadcom | Web Security Service | ①、②共に検知・ブロック可能 |
Cato Networks | Next Generation Anti-Malware | ①、②共に検知不可 ※3/16時点の弊社検証結果 |
Menlo Security | Web Isolation | ①、②共に検知及びファイル内容の安全な閲覧が可能 |
Netskope | Threat Protection |
①、②共に検知不可 |
Skyhigh Security | Secure Web Gateway(Cloud)(GAM・ATD) |
①、②共に検知・ブロック可能 |
Secure Web Gateway(On prem) |
①、②共に検知・ブロック可能 |
また、メール等で受信したファイルが社内の共有ストレージにアップロードされた場合も想定した検証も行いました。
①Zip圧縮されたOneNoteファイルのアップロード
②Zip圧縮されていないOneNoteファイルのアップロード
メーカ | 製品名 | 検証結果 |
Box | Box Shield |
①検知不可 |
パート1・2の結果について
本検証実施時点では一部製品での検知が難しい結果となりました。弊社は今回の結果をもとに各メーカへ働きかけを行っております。
なお、新たな攻撃手法が発生した際にも結果が変化する可能性がありますことご留意ください。また上記結果は弊社が検証を実施した結果を記載しており、永続的な検出を保証するものではありません。
パート3.セキュリティ製品以外での対策について
Emotetは不定期に手法を変更し、セキュリティ製品の検知を回避したり人間の心理の隙きを突くことで感染拡大を続けています。今回の一部の製品のように、手法変更直後はセキュリティ製品側での検知が行えない事もありますが、多くの場合はメーカ側での機能改善により対策が行われます。対応される期間までの対応策の参考として、Emotetの過去の手口に対して有効と考えられる、セキュリティ製品の検知力に依存しない対策例を整理しました。
概要 | 詳細 | 注意点 |
メールサーバ側でのパスワード付きZipの受信制限 | 2023年3月7日の活動再開以降はまだ観測されていませんが、Emotetはパスワード付きZipで不正なファイルを送信し、メールセキュリティ製品での検知を逃れる手法を多用していました。最近多くの企業で普及しつつありますが、パスワード付きZipの受信に制限をかけるというのも一定の効果が期待できます。 |
パスワード付きZip以外に、以下のような不正ファイル配送パターンもあります。 |
その他の受信メールの制限 |
パスワード付きZipの制限は多くの企業で導入され、メジャーになりつつ手法ですが、同様の発想でEmotetが用いる手法に合わせてメールの受信制限を行う事も有効です。 |
その他の対策にも通じることですが、業務影響と照らし合わせての適用判断が必要です。またEmotetの手法の変更に合わせて適宜チューニングを行うことも重要です。 |
スクリプトが埋め込まれたOneNoteの起動制限 |
自社の業務の中でOneNoteをメール受信することが稀な場合は、上記のようにメールGWでOneNoteの拡張子指定等で受信を一律制限することが有効です。 |
その他の対策にも通じることですが、業務影響と照らし合わせての適用判断が必要です。 |
信頼できない場所から取得したファイルのマクロの有効化制限 |
メールやインターネット等から取得したOfficeファイルに対しては、マクロの実行を強く制限する事が可能です。Officeアプリを特定のバージョン以上にアップグレードするか、セキュリティ設定の変更により導入する事ができます。詳細は以下URLを参照してください。 https://learn.microsoft.com/ja-jp/deployoffice/security/internet-macros-blocked 特定の方法によりマクロ実行も可能ですが、Officeファイル開いた直後に表示されるマクロ有効化のボタンを反射的に、または無意識にクリックし感染する状況に対しては大きな効果が期待できます。 |
Officeファイル型のEmotetに対しては有効ですがショートカットリンク型、OneNote型に対しては無効です。 https://www.jpcert.or.jp/at/2022/at220006_fig3-1.png ※利用する解凍ソフトやバージョンによってはMoTWの情報が引き継がれない場合があります。 |
メールで受信したショートカットリンク、OneNoteへの注意喚起、社内教育 |
Emotetは感染の起点となるファイルをWordやExcel等のOfficeファイルで送付するか、ショートカットリンクやOneNote内に不正なスクリプトを含み送付してきます。 |
PCの設定によってはショートカットファイルの拡張子が表示されていなかったり、ショートカットファイルのアイコンが偽装され、一見するとドキュメントファイルに見えてしまう場合もあります。 ファイルの種類をプロパティ情報等から確認することが確実です。 |
通信先の制限 |
本記事冒頭の感染フローの通りメールで送付されてくるOfficeファイルやショートカットリンクはEmotet感染の起点でしかなく、実際のEmotetマルウェア本体は感染の度に外部よりダウンロードされます。 ダウンロードURL C2時の宛先IPアドレス ※上段は主要なばらまき型マルウェア全般の情報、下段はEmotet に限定した情報が参照可能です。 |
左記サイトにも100%網羅性のある情報が集約されるわけではありません。 |