【図表】
Emotetのスレッドハイジャックプロセスのワークフローを表す概念図。ステップ1: WindowsホストがEmotetに感染。ステップ2: Emotetに感染したホストがメールクライアントから収集したデータをC2トラフィック経由で送信。ステップ3: Emotetボットネットに加わったホストは盗んだデータで電子メールのスレッドを偽装
本ケーススタディにおけるEmotet C2トラフィックのHTTP POSTデータの例。C2トラフィック経由のHTTP Postリクエストのどこにどれだけデータが含まれているかの内訳を示している。ポストされた4,772バイトには、フォームヘッダ情報、675バイト分のエンコード済みデータ、3,875バイト分のパディングが含まれていることがわかる
UTCのEmotet C2トラフィックに含まれる約13.9 kB分のエンコード済みデータ。送信データ量がかなり多いことがわかる。HTTPポストは約13.9 kB分のエンコード済みデータを送信しており、このサイズは感染Windowsホストから収集したメールスレッドデータの格納には十分な大きさがある。これによりスレッド乗っ取りを続行できる
出典: https://unit42.paloaltonetworks.jp/emotet-thread-hijacking/
【ブログ】
◆Emotetのメール攻撃手法「スレッドハイジャック」のケーススタディ (UNIT 42(Palpalto), 2020/09/23)
https://unit42.paloaltonetworks.jp/emotet-thread-hijacking/
【関連まとめ記事】
◆全体まとめ
◆マルウェア / Malware (まとめ)
◆バンキングマルウェア (まとめ)
◆Emotet (まとめ)
http://malware-log.hatenablog.com/entry/Emotet