TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

最恐のマルウェア“Emotet”を徹底解剖。 特徴と今必要な対策を解説します。

【図表】

f:id:tanigawa:20200919191025p:plain
f:id:tanigawa:20200919191143p:plain
出典: https://www.lanscope.jp/trend/16983/


【概要】

■攻撃者側が行った工夫

  • メールに添付したMicrosoft Word文書ファイルのマクロを利用して端末へ侵入・感染するという手法
    • 正規にやり取りされているメールに「RE:」をつけて実際のメールの返信を装う手法
  • Emotet本体には不正なコードを多く含まない
    • 情報窃取などの不正な動作をするモジュールを、攻撃者が用意したサーバー(C&Cサーバー)からダウンロード
    • ダウンロードしたモジュールは、メモリ上で動作させる(ファイルレス)


■Emotetの被害

  • 重要な情報を盗み取られる
  • ランサムウェアに感染する
  • 社内の他の端末にEmotetが伝染する
  • 社外へのEmotetばらまきの踏み台にされる


■Emotet対策

  • 組織内への注意喚起の実施
  • マクロの自動実行の無効化(事前にセキュリティセンターのマクロの設定で「警告を表示してすべてのマクロを無効にする」を選択しておく)
  • メールセキュリティ製品の導入によるマルウェア付きメールの検知
  • メールの監査ログの有効化
  • OSに定期的にパッチを適用(SMBの脆弱性を突く感染拡大に対する対策)
  • 定期的なオフラインバックアップの取得(標的型ランサムウエア攻撃に対する対策)


【公開情報】

◆最恐のマルウェア“Emotet”を徹底解剖。特徴と今必要な対策を解説します。 (LanScope, 2020/09/03)
https://www.lanscope.jp/trend/16983/


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)
  ◆バンキングマルウェア (まとめ)

◆Emotet (まとめ)
http://malware-log.hatenablog.com/entry/Emotet


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2022