リレーブログの続きです。前回はこちら。
お題はemotetについてです。なのに、タイトルがとあるマルウェアになっているのは検索避けです。詳しい記事が他にあることから、ちょっと表題に取り上げるのはやめました。
seccamp2022が始まってきてますが、時の流れは早いですね。今年のキャンプにはチューターとして参加します。受講生がどんなグループワークするか楽しみです。
emotetとは
まずは、マルウェアの種類
感染経路
- メールの添付ファイル
- パスワード付きzipファイルの中にある文書ファイルに添付されてる
- メールに記載されたURL
感染被害
- メールソフト・ブラウザに記録されたパスワードの窃取
- 感染した端末のメールアドレスから再配布で感染拡大
- ブラウザに保存されたクレジットカード情報が摂取される
ファイルレスマルウェアなので、ウイルス対策ソフトで検出できる実行可能ファイル(バイナリ形式)がない。emotet用検出ツールで僕が知っているのはこれです。
emotetは変化を結構しているぽくて(twiiterで追っかけているだけでも最新情報見る)、それに合わせてcheckerも更新されてます。特に、上記の感染被害で書いたクレジットカードの話は6/9なのでとても直近です。
簡単な時系列 (歴史)
- 2014年 : 銀行の認証場法を搾取するマルウェアとして観測
- 2017 ~ 2019 : 他のマルウェアをダウンロードするローダとなる
- 2021年 1月 : EUROPOLにより、C&C、C2サーバーのテイクダウン
- 無害化された。一旦終わった感じ
- 2021年 11月 : 活動再開
無害化したときのニュースで
とか。
自分たちができること
不審なメールアドレスから送られてきたファイルを開かない。
簡単なようで、できていないから広がっているので気をつけましょう。
時間があれば、解析とかしてみたいですね。できるか分からないけど。