研究者は、Emotetトロイの木馬の新しい亜種を発見しました. この亜種は、マルウェアが内部ネットワークを介して拡散するのを助けることができる機能を利用していると言われています.
11月の更新 2017: Emotetバンキング型トロイの木馬が更新され、セキュリティコミュニティに深刻な懸念を引き起こしている危険な新しいコンポーネントが含まれるようになりました. マルウェアは、セキュリティで保護された接続を介してもデータを抽出できるようになりました. ウイルスファイルは、最も一般的な感染方法を使用して簡単に送信でき、最後の主要な攻撃により、依然として最も人気のあるペイロードの1つであることが証明されました。. 被害者には、ヨーロッパ諸国のエンドユーザーが含まれます, 中東, 北米とアジア. 学び Emotetトロイの木馬から保護する方法 今.
Emotetトロイの木馬とは?
近々, トロイの木馬は、FidelisCybersecurityのブログ投稿で進化したことが確認されています, また、進化の背後にあるアクターは、ワームのような機能を利用してネットワーク全体に急速に拡散したWannacryおよびNotPetyaマルウェア攻撃に触発された可能性があることを示唆しています.
先週、Emotetのケースが急増しました, 顧客のコンピューターからブロックしたSophosLabsを確認. トロイの木馬自体は、ユーザーのオンラインバンキングの詳細を盗むように設計されています. これは主にトロイの木馬と見なされますが, Emotetには、ワームとして分類されるために必要な機能機能も含まれています. 違いは、トロイの木馬は個人をだまして感染を可能にするためにある程度のソーシャルエンジニアリングを必要とするのに対し、ワームはユーザーの助けなしにあるシステムから別のシステムに広がる可能性があることです。. Emotetトロイの木馬がダウンロードしたとき, その後、他のペイロードを実行します. そして、それはまだワームではないかもしれませんが, 確かに、別のコンポーネントをダウンロードして実行する可能性があるため、他のシステムに広がる可能性があります.
Emotetはどのように機能しますか?
感染は、電子メールスパムを介した配布から始まります. イベントのチェーンは次の順序で実行されます:
- ダウンロードリンクが含まれるスパムメールが被害者の受信トレイに送信されます.
- ダウンロードリンク自体は、MicrosoftWordドキュメントを指しています。.
- Powershellスクリプトをデコードして起動するVBAコードは、ダウンロードされるとドキュメント内にあります。.
- これにより、Powershellスクリプトが複数のURLソースからEmotetをダウンロードして実行しようとします。.
自己解凍型WinRARアーカイブには、必要なすべてのEmotetコンポーネントが含まれています. WinRARアーカイブには、脆弱で一般的に使用されるパスワードの大規模な辞書がバンドルされています.
Emotetは、パスワード辞書を使用してネットワークシステムにアクセスすることでアクセスを取得します. アクセスが取得されると, 非表示のC$または管理者に自分自身をコピーします $ 株式. コピーにはmy.exeのファイル名が付けられる傾向があります; でも, 他のファイル名も使用されたと言われています.
トロイの木馬には文字列の埋め込みリストが含まれており、そこから2つの単語を選択して、感染が開始されたときに基本的に使用するファイル名に追加できます。. トロイの木馬によって選択された文字列は、ハードディスクボリュームIDを使用してシードされます. これにより、感染したシステムごとに同じハードディスクに常に同じファイル名が表示されるようになります。.
トロイの木馬がそれ自体と他のモジュールの最新のコピーを継続的にダウンロードできるようにするために、自己更新コンポーネントもダウンロードされます. このコンポーネントは次のように保存されます “/%ウィンドウズ%
このコンポーネントがダウンロードする他のモジュールは、事実上、他の既知のアプリケーションからクレデンシャルを収集するために使用されます。または、他の場合には、Outlook PSTファイルから電子メールアドレスを収集して、標的のスパムで使用します。.
メインのEmotetコンポーネントがアップデータコンポーネントによって更新されたとき, 親ファイルは、前に選択した同じ文字列で構成される同じファイル名を使用して置き換えられます. 次にマルウェアは、新しく更新されたexeをWindowsサービスとしてインストールして実行します.
研究者は最近、Emotetに感染したシステムでのDridexおよびQbot感染も発見しました. 他のペイロードをダウンロードして実行するEmotetの機能が、現在、さらに地理的にターゲットを絞ったペイロードを展開するために実際に使用されている可能性が高いです。.
Emotetに対して実行できる防御策
その検出以来, Emotetの発生の原因となった攻撃者は、攻撃が続くにつれて、トロイの木馬の新しい亜種を作成することで対応しました, したがって、マルウェアの更新機能を利用します. マルウェアが研究者の注意を引いたため、応答としてペイロードのダウンロード元のIPアドレスも変更されました.
Emotetのコンポーネントは次のように検出されます:
- Mal / Emotet
- HPmal / Emotet
- Troj / EmotetMem-A
一般的なMicrosoftの脆弱性を悪用するマルウェアを防ぐため:
- 定期的な更新を実行し、それらをすばやく適用します.
- もし可能なら, 古いWindowsシステムを最新バージョンに置き換えます.
その他のアドバイスには以下が含まれます:
- 送信者を知らずに電子メールでWord文書を受け取った場合, 開けないで.
- ネットワーク全体でのファイル共有をロックダウンする.
- 推奨されるパスワードの方法を使用する.
- ユーザーにデフォルトの管理者アクセス権がないことを確認してください.
- Officeドキュメントのマクロをブロックする.
- 厳密な電子メールゲートウェイ設定を検討してください.
- オンアクセススキャナーでアンチウイルスを使用する (リアルタイム保護とも呼ばれます).
