TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

Emotet (まとめ)

概要

【概要】

項目 内容
分類 バンキングマルウェア
特徴 ライブラリファイルを用いて機能を追加・カスタマイズが可能(モジュラー型のトロイの木馬)
侵入方法 メールで侵入
感染方法 添付ファイル・外部リンク
感染拡大 外部ドライブの認証情報よりパスワードを取得し、SMB経由で共有ドライブへアクセス
パスワードリストを用いてネットワーク内の端末に対して総当たり攻撃


【辞書】

◆Emotet  (Wikipedia)
https://en.wikipedia.org/wiki/Emotet

記事

【ニュース】

◆【分析レポート】 金融取引情報を狙うマルウェア 「Emotet」 (Ahnlab, 2017/10/17)
https://mjp.ahnlab.com/site/securitycenter/securitycenterboard/analysisReportView.do?seq=2363&curPage=
http://malware-log.hatenablog.com/entry/2017/10/17/000000_12

◆マカフィー脅威レポート、ランサムウェアに続きモバイルマルウェアも急増 (ASCII.jp, 2018/01/17 17:00)
http://ascii.jp/elem/000/001/618/1618763/
http://malware-log.hatenablog.com/entry/2018/01/17/000000_9

◆「Lukitus」「Trickbot」「Emotet」「DragonFly」新たな脅威を生むランサムウエア (@DIME, 2018/01/22)
https://dime.jp/genre/501813/
http://malware-log.hatenablog.com/entry/2018/01/22/000000_1

◆自己拡散するマルウェア「Emotet」、企業や政府機関で感染拡大 (ITmedia, 2018/07/27 15:30)
http://www.itmedia.co.jp/enterprise/articles/1807/27/news104.html
http://malware-log.hatenablog.com/entry/2018/07/27/000000_4

◆マルウェア配信担う自己拡大型トロイの木馬に警戒 - 復旧に1億円超えも (Security NEXT, 2018/07/31)
http://www.security-next.com/096218
http://malware-log.hatenablog.com/entry/2018/07/31/000000_3

◆マルウェア「Emotet」に大きな変化、電子メールメッセージを大量収集 (ZDNet, 2018/11/07 06:30)
https://japan.zdnet.com/article/35128040/
http://malware-log.hatenablog.com/entry/2018/11/07/000000

◆バンキングマルウェア「Emotet」が国内で流行の兆し (ASCII.jp, 2018/12/26 12:00)
http://ascii.jp/elem/000/001/789/1789760/
http://malware-log.hatenablog.com/entry/2018/12/26/000000_6

◆自己拡散するバンキングマルウェアEmotetを国内で確認――キヤノンITSが11月のマルウェアレポートを公開 (EnterpriseZine, 2018/12/26 14:00)
https://enterprisezine.jp/article/detail/11570
http://malware-log.hatenablog.com/entry/2018/12/26/000000_8

◆Emotet hijacks email conversation threads to insert links to malware (ZDNet, 2019/04/11 17:16)
https://www.zdnet.com/article/emotet-hijacks-email-conversation-threads-to-insert-links-to-malware/
http://malware-log.hatenablog.com/entry/2019/04/11/000000_6

◆マルウェアとボットネットの現状--現在はEmotetが圧倒的なシェア (ZDNet, 2019/06/06 06:30)
https://japan.zdnet.com/article/35137825/
https://malware-log.hatenablog.com/entry/2019/06/06/000000_3

◆感染は「Emotet」亜種、メール経由で - 多摩北部医療センター (Security NEXT, 2019/06/28)
http://www.security-next.com/105572
https://malware-log.hatenablog.com/entry/2019/06/28/000000_12

◆ランサムウェアに屈した地方自治体がIT担当職員を解雇--フロリダ州レイク・シティ (ZDNet, 2019/07/02 11:20)
https://japan.zdnet.com/article/35139315/
https://malware-log.hatenablog.com/entry/2019/07/02/000000_1

◆大規模ボットネットが息を潜めてアップグレード、6月マルウェアランキング (マイナビニュース, 2019/07/11 10:55)
https://news.mynavi.jp/article/20190711-857435/
https://malware-log.hatenablog.com/entry/2019/07/11/000000_1


【ブログ】

◆「EMOTET」を再び確認、今回は北米を中心に拡散し標的産業も拡大 (Trendmicro, 2017/09/15)
https://blog.trendmicro.co.jp/archives/15901
http://malware-log.hatenablog.com/entry/2017/09/15/000000_5

◆「EMOTET」の新亜種を確認。Windows APIを悪用してサンドボックス検出と解析を回避 (Trendmicro, 2017/11/27)
https://blog.trendmicro.co.jp/archives/16492
http://malware-log.hatenablog.com/entry/2017/11/27/000000_1

◆Malware Team Up: Malspam Pushing Emotet + Trickbot (Paloalto, 2018/07/18 05:00)
https://researchcenter.paloaltonetworks.com/2018/07/unit42-malware-team-malspam-pushing-emotet-trickbot/
http://malware-log.hatenablog.com/entry/2018/07/18/000000

◆マルウェアの共闘: EmotetとTrickbotをプッシュするマルスパム (Paloalto, 2018/07/18 05:00)
https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-malware-team-malspam-pushing-emotet-trickbot
http://malware-log.hatenablog.com/entry/2018/07/18/000000_4

◆Emotet が進化: オンラインバンキングを狙うトロイの木馬から、マルウェアの流通へ (Symantec, 2018/07/23)
https://www.symantec.com/connect/blogs/emotet
http://malware-log.hatenablog.com/entry/2018/07/23/000000_5

◆Analysis of the latest Emotet propagation campaign (Welivesecurity, 2018/12/28 13:01)
https://www.welivesecurity.com/2018/12/28/analysis-latest-emotet-propagation-campaign/
http://malware-log.hatenablog.com/entry/2018/12/28/000000_9

◆Emotet Malware Gets More Aggressive (Darkreading, 2019/01/03 18:05)
https://www.darkreading.com/attacks-breaches/emotet-malware-gets-more-aggressive-/d/d-id/1333584
http://malware-log.hatenablog.com/entry/2019/01/03/000000_1

◆Emotet infections and follow-up malware (SANS ISC InfoSec Forums, 2019/01/16)
https://isc.sans.edu/forums/diary/Emotet+infections+and+followup+malware/24532/
http://malware-log.hatenablog.com/entry/2019/01/16/000000

◆「Emotet」が新しい検出回避手法を追加 (Trendmicro, 2019/05/14)
https://blog.trendmicro.co.jp/archives/21189
https://malware-log.hatenablog.com/entry/2019/05/14/000000_4

◆June 2019’s Most Wanted Malware: Emotet Takes a Break, but Possibly Not for Long (Check Point, 2019/07/09)
https://blog.checkpoint.com/2019/07/09/june-2019s-most-wanted-malware-emotet-crypto-malware-mining-xmrig/
https://malware-log.hatenablog.com/entry/2019/07/09/000000_6

◆Emotet is back after a summer break (Talos(CISCO), 2019/09/17)
https://blog.talosintelligence.com/2019/09/emotet-is-back-after-summer-break.html
https://malware-log.hatenablog.com/entry/2019/09/17/000000_5


【公開情報】

◆Alert (TA18-201A) Emotet Malware (US-CERT, 2018/07/20)
https://www.us-cert.gov/ncas/alerts/TA18-201A
http://malware-log.hatenablog.com/entry/2018/07/20/000000_7

◆流行マルウェア「EMOTET」の内部構造を紐解く (MBSD, 2018/12/25)
https://www.mbsd.jp/blog/20181225_2.html
http://malware-log.hatenablog.com/entry/2018/12/25/000000_1


【図表】

f:id:tanigawa:20171121045143j:plain
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー
出典: http://blog.trendmicro.co.jp/archives/16418

f:id:tanigawa:20190117072059j:plain
出典: https://isc.sans.edu/forums/diary/Emotet+infections+and+followup+malware/24532/

f:id:tanigawa:20180807073258j:plain
「Emotet」が感染する流れ(画像:US-CERT)
出典: http://www.security-next.com/096218/2

f:id:tanigawa:20180807073830j:plain
Trojan.Emotet の攻撃は米国の標的に集中
f:id:tanigawa:20180807073933j:plain
Trojan.Emotet の地域別の検出数
f:id:tanigawa:20180807074112p:plain
2018 年 1 月 1 日から 3 月 28 日までの W32.Qakbot の検出数
出典: https://www.symantec.com/connect/blogs/emotet

f:id:tanigawa:20180808045646p:plain
AD環境で成功したEmotet + Trickbot感染チェーン
https://researchcenter.paloaltonetworks.com/2018/07/unit42-malware-team-malspam-pushing-emotet-trickbot/

f:id:tanigawa:20171121045143j:plain
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー
出典: http://blog.trendmicro.co.jp/archives/16418

f:id:tanigawa:20180807072343p:plain
Emotet の配布および動作方式
出典: https://mjp.ahnlab.com/site/securitycenter/securitycenterboard/analysisReportView.do?seq=2363&curPage=


【インディケータ情報】

◆Emotet (IoC (TT Malware Log), 2019/09/17)
https://ioc.hatenablog.com/entry/2019/09/17/000000

関連情報

【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆バンキングマルウェア (まとめ)
https://malware-log.hatenablog.com/entry/Banking_Malware


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019