マクニカはEmotetの活動再開を受け、同社が取り扱っている製品でこれを検知できたかどうかを検証して結果を報告した。検証結果によると、一部の製品では、Emotetが用いる新たな攻撃手口に対応できず検知不可になることが分かった。
この記事は会員限定です。会員登録すると全てご覧いただけます。
マクニカは2023年3月14日、マルウェア「Emotet」が4カ月ぶりに活動再開したことを受け、同社が取り扱う製品でこれを検知できたかどうかを検証し、結果を報告した。CrowdStrikeやTrellixなどのメーカーから出ているEDR(Endpoint Detection and Response)やアンチウイルスソフト製品が対象となっている。
同社は今回の検証結果について「新たな攻撃手法が発生した際には結果が変わる可能性があり、永続的な検出を保証するものではない」としている。
活動再開したEmotetの手口の特徴として、電子メールに添付されている「Microsoft Office」(以下、Office)ファイルやマクロ経由でダウンロードされるEmotet本体が、展開前は1MB未満であるにもかかわらず、展開後に500MBを超えるファイルになる点が挙げられる。これはセキュリティ製品がサイズの大きなファイルの検出をうまくできない場合があるため、これを狙ったものだとされている。
また、これらのファイルはパスワードを使わないZIP圧縮のファイルが使われており、パスワード付きZIPファイルの受け取りを拒否する企業に向けた対策も採られていることが分かる。
マクニカは、Emotetがこうした新たな手口を使ってくる現状を踏まえて取り扱い製品の検知状況を検証した。同社によると、本稿執筆時点でのEmotetの感染ステップは以下の通りだ。取り扱っている製品がどのステップで感染を検知し、ブロックするのか、または検知できないのかを検証している。
メーカー(50音順) | 製品名 | 検証結果 |
---|---|---|
CrowdStrike | Falcon | ステップ5のマクロ経由で起動したRegsvr32が、悪性のファイルをロードする動作を検知・ブロック |
CrowdStrike | Sandbox | docファイルはエラーが発生し分析不可。Emotet本体は分析・検知可能 |
Island | Island Enterprise Browser | ステップ2の送付された添付ファイルをブラウザ経由で閲覧した場合は検知が働き、安全な閲覧が可能 |
Menlo Security | Mail Isolation | ステップ2の添付ファイル内容の安全な閲覧および検知が可能 |
Proofpoint | Email Protection | ステップ1の電子メールに添付されたファイルの解凍後のサイズによって検知・ブロック可能(デフォルト設定では50MB) |
TeamT5 | ThreatSonar | ステップ6のスキャナー実行によって感染端末の検出が可能 |
Trellix(旧FireEye) | EX/ETP | ステップ1の電子メールに添付されたファイル解析時に検知・ブロック可能 |
Trellix(旧FireEye) | AX/VX/FX | ステップ1の電子メールに添付されたファイル解析時に検知可能 |
Trellix(旧FireEye) | NX | ステップ4のEmotet本体のダウンロード時に検知・ブロック可能 |
Trellix(旧McAfee) | ENS 脅威対策(AV) | 検知不可 |
Trellix(旧McAfee) | ENS 適応型脅威対策(NGAV) | 検知不可。ただしセキュリティレベルを「high」にすればステップ5で検知・ブロック可能 |
Trellix(旧McAfee) | Trellix EDR | ステップ5でマクロ経由で起動したRegsvr32が悪性のファイルをロードする動作を検知可能 |
活動再開以前のEmotetは添付ファイルではなく、電子メールに記載されたURL経由で感染トリガーになる不正なOfficeファイルを配送する手法も使っていた。マクニカはこのシナリオについても2パターンで検知状況を確認した。
メーカー(50音順) | 製品名 | 検証結果 |
---|---|---|
Cato Networks | Next Generation Anti-Malware | パターン1検知可能。パターン検知不可 |
Menlo Security | Web Isolation | パターン1と2ともに検知可能 |
Netskope | Threat Protection | パターン1と2ともに検知不可 |
Skyhigh Security | Secure Web Gateway(Cloud)(GAM・ATD) | パターン1と2ともに検知不可 |
その他、電子メールなどで受信したファイルが社内の共有ストレージにアップロードされた場合を想定した検証も実施した。
メーカー(50音順) | 製品名 | 検証結果 |
---|---|---|
Box | Box Shield | パターン1は検知不可。パターン2は検知可能 |
マクニカは上記の結果から、検証実施時点で一部製品での検知ができないことが分かったとし、各メーカーに働きかけを実施している。
Copyright © ITmedia, Inc. All Rights Reserved.