アナリスト・チョイス 2020年10月 | The Codebook

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

The Codebook > Analyst's Choice > アナリスト・チョイス 2020年10月

アナリスト・チョイス 2020年10月

Analyst’s Choice

 

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

 

アナリスト:Rory Morrissey (Intelligence Architect @Machina Record)

 

Articles

EmotetとTrickbot

 

EmotetとTrickbot

Emotet

「Emotet」とは、マルウェアの系統の一つ、およびロシアを拠点としたサイバー犯罪活動のことを指します。「Geodo」や「Mealybug」とも呼ばれるこのマルウェアは、2014年に初めて検出され、現在も活発に活動しており、2019年に最も流行した脅威の1つとみなされています。

現在、「Emotet」は「ローダー」マルウェアとして頻繁に使用されています。ローダーとは、何らかの方法で標的となるコンピュータに埋め込まれ、追加のペイロードやマルウェアをダウンロードして実行するマルウェアの一種です。観測されている方法は主に、Eメールの添付ファイルに含まれるマクロウイルスによるものです。

「Emotet」は多くの場合、バンキング型トロイの木馬、あるいはワームと呼ばれます。これは非常に高度な脅威で、制御するサイバー犯罪者によって1日に何度も更新されています。主な目的は3つあります。

可能な限り多くのマシンに拡大する

悪質なEメールを送信して他の組織を感染させる

マルウェアペイロードをダウンロードおよび実行する

 

ここでのペイロードは、伝統的には、ほとんどがバンキング型トロイの木馬であり、「TrickBot」が最も一般的です。他のペイロードには、「Qbot」、「Dridex」、「IcedID」などがあります。また「Emotet」には、「BitPaymer」と呼ばれる非常に危険な標的型ランサムウェアファミリーとの関連があります。

 

Trickbot

「Emotet」と同様、「TrickBot」もまたバンキング型トロイの木馬、およびワームと呼ばれています。「TrickBot」には「Emotet」と似た動きが多く、例えば、常に他のコンピュータに拡散しようとしたり、1日に何度もアップデートされたりします。その主な目的は、オンライン銀行やPayPalのアカウントにアクセスして、ユーザーのお金を盗むことです。ただ「TrickBot」は、ほぼ間違いなく「Emotet」よりも高度です。というのは、拡散のための更なる技術を持っているからです。例えば:

ユーザーネームとパスワードのブルートフォース(総当たり)

クレデンシャルの収集(ユーザーのログイン中にユーザーネームやパスワードを取得する)

「EternalBlue」として知られる、マイクロソフトのSMBにおける脆弱性を利用する(「WannaCry」ランサムウェアが拡散のために利用した手法と同一)

さらに、「TrickBot」はモジュール式です。つまり、攻撃者はどのタイプの攻撃を行うかを選択できます。

 

2018年9月、英国のNCSC(国家サイバーセキュリティセンター)は以下のような勧告を発表しました。

 

「『Trickbot』は、悪質な能力を幅広く備えていると報告されています。例えば:

・Webブラウジングセッションを操作することにより、銀行取引のログイン情報や「覚えやすい情報」(*)といった機密情報を盗む

・感染したデバイスおよびネットワークの詳細情報を収集する

・保存済みのオンラインアカウントのパスワード、クッキー、およびWeb閲覧履歴を盗む

・感染したデバイスのログイン認証情報を盗む

・感染したデバイスを、インターネット上の犯罪目的で管理された悪質なネットワークに接続する

・被害者のネットワーク上の他のデバイスに感染することで拡散する

・リモートアクセスツール、VNCクライアント、ランサムウェアといった有害なファイルをさらにダウンロードする

(*訳注)オンラインバンキングで利用される認証情報の一種。原文は「memorable information」

 

Analyst’s Comments

 

影響範囲:

「Emotet」は、主にWindowsを標的としながらも、 MacOSにも影響を与える可能性があり、その射程は広範囲です。このマルウェアの主な目的が、攻撃者の金銭的利益につながる機密情報を盗むことであることを考えると、企業、個人を問わず、誰もが危険にさらされていると考えるのが安全でしょう。

一方、「Trickbot」は、主にWindows OSを標的としています。

 

見解:

「Emotet」と「Trickbot」は非常に似ており、悪意のあるEメールの添付ファイルや、感染したURLを含むスパムキャンペーンなど、ほぼ同じ方法で拡散します。しかし、「Trickbot」は、ローダーとして機能するトロイの木馬によって、二次的なペイロードとして投下されることも確認されています。つまり、感染を防ぐためにまず目を向けるべきは、メールスパムフィルタとウイルススキャンですが、これは他の手段を介した感染からの安全性を保証するものではありません。

 

対策:

予防

「Emotet」は主にメール添付ファイルを介して拡散されます。したがって企業は、従業員に信頼できない、または疑わしいソースからの添付ファイルをダウンロードさせる際に、注意する必要があります。

ユーザーパスワードは適切な長さ(通常8文字、より長い方が望ましい)にし、ユーザーの誕生年やペットの名前など、ユーザーに関連する単語や数字を含まないようにしてください。また、可能であれば、二要素認証を設定しましょう。

「Trickbot」は大規模なスパムメールキャンペーンを経由して拡散します。なので、「Emotet」の場合と同様、企業は従業員に詐欺的なメールの危険性について、手厚く教育を行う必要があります。

「Trickbot」は企業のネットワーク内に入ると、「EternalBlue」エクスプロイト(MS17-010)のような様々な方法で拡散します。「EternalBlue」エクスプロイトは、2017年に公開されたマイクロソフトのパッチをインストールすることで、簡単に軽減することができます。

感染した後は、感染したすべてのコンピュータをネットワークから隔離するとともに、再感染する可能性があるため、マルウェアを除去してからネットワークに再接続する必要があります。

 

セキュリティ侵害インジケーター(IOC)

「Emotet」も「Trickbot」も数年前から存在しています。セキュリティ業界が記録した最近のIOCを以下ご紹介します。

備考:下記URLは、悪質なサイトへ繋がってしまう可能性があるため、括弧でリンクを無効化しております。

 

「Emotet」IOCのサンプル:

URL

http://bigprint[.]pictures/COPYRIGHT/jExYyms/ http://warpufa[.]com/cgi-bin/eTrac/45477895509001/50s43i-12/ https://events[.]medialogic[.]cloud/blazor-preventdefault/jhJEthhz1swja3lkavKpv5aa3ZmCfheym9l8iUuKrUZvYfDcowbxUHOKIMsqQiAV0/

https://ccehydrographics[.]com/wp-includes/5RwwtoiPZpuwvOf1ScxDYhzgeVQ67zF2x/

https://zhidong[.]store/wp-content/VHk2DNyWU5b06vxEy0VdyTEejLlBx68CdJ/

https://nurmarkaz[.]org/designl/parts_service/00078/aj187jtg-00022/ https://stolenafrikan[.]africa/vnmck/dorvrJT8rU5CnQJ3N1ndhSzyyQ7G998IzOeOEDnZ/

https://dantokpa-market[.]org/wp/JaFn13kW2q2AFR98G/ https://wp83[.]talentsprint[.]com/wp-content/g9oYMUdKhjJVvZRKRQYtP35ZX7YU9exTcJjvLCz5DRLrxt3O/

http://ufak2[.]com/demo/public/tdy4uq4-05553/

 

「Trickbot」IOCのサンプル:

「Trojan.Trickbot」は通常、モジュールを保存するために「%APPDATA%\Roaming」というフォルダを作成します。

 

実例:

%APPDATA%\Roaming\winapp\Modules

%APPDATA%\Roaming\TeamViewer\Modules

 

その他のIOC:

C:\WINDOWS\Tasks\MsSysToken.job

C:\WINDOWS\Tasks\MSTools.job

C:\Windows\System32\Tasks\MsNetMonitor

C:\WINDOWS\Tasks\MsNetValidator.job

C:\WINDOWS\Tasks\services update.job

 

%APPDATA%\roaming\winapp\.exe for example:

C:\Users\{Username}\AppData\Roaming\winapp\546A9064.exe

 

%APPDATA%\roaming\winapp\client_id for example:

C:\Users\Adminuser\AppData\Roaming\winapp\client_id

 

%APPDATA%\roaming\winapp\group_tag for example:

C:\Users\Adminuser\AppData\Roaming\winapp\group_tag

 

%APPDATA%\system32\Tasks\services update for example:

C:\Windows\System32\Tasks\services update

 

%APPDATA%\system32\Tasks\MsSysToken for example:

C:\Windows\System32\Tasks\MsSysToken

 

「19CA05FC17F0128」または似たようなMutex(排他制御)名を指定します。