TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

Emotetのメール攻撃手法「スレッドハイジャック」のケーススタディ

【図表】

f:id:tanigawa:20211118021740p:plain
Emotetのスレッドハイジャックプロセスのワークフローを表す概念図。ステップ1: WindowsホストがEmotetに感染。ステップ2: Emotetに感染したホストがメールクライアントから収集したデータをC2トラフィック経由で送信。ステップ3: Emotetボットネットに加わったホストは盗んだデータで電子メールのスレッドを偽装
f:id:tanigawa:20211118021856p:plain
本ケーススタディにおけるEmotet C2トラフィックのHTTP POSTデータの例。C2トラフィック経由のHTTP Postリクエストのどこにどれだけデータが含まれているかの内訳を示している。ポストされた4,772バイトには、フォームヘッダ情報、675バイト分のエンコード済みデータ、3,875バイト分のパディングが含まれていることがわかる
f:id:tanigawa:20211118021919p:plain
UTCのEmotet C2トラフィックに含まれる約13.9 kB分のエンコード済みデータ。送信データ量がかなり多いことがわかる。HTTPポストは約13.9 kB分のエンコード済みデータを送信しており、このサイズは感染Windowsホストから収集したメールスレッドデータの格納には十分な大きさがある。これによりスレッド乗っ取りを続行できる
出典: https://unit42.paloaltonetworks.jp/emotet-thread-hijacking/


【ブログ】

◆Emotetのメール攻撃手法「スレッドハイジャック」のケーススタディ (UNIT 42(Palpalto), 2020/09/23)
https://unit42.paloaltonetworks.jp/emotet-thread-hijacking/


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)
  ◆バンキングマルウェア (まとめ)

◆Emotet (まとめ)
http://malware-log.hatenablog.com/entry/Emotet


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023