Emotet vs. セキュリティ製品 各製品の検知可否を検証してみた
マクニカはEmotetの活動再開を受け、同社が取り扱っている製品でこれを検知できたかどうかを検証して結果を報告した。検証結果によると、一部の製品では、Emotetが用いる新たな攻撃手口に対応できず検知不可になることが分かった。
マクニカは2023年3月14日、マルウェア「Emotet」が4カ月ぶりに活動再開したことを受け、同社が取り扱う製品でこれを検知できたかどうかを検証し、結果を報告した。CrowdStrikeやTrellixなどのメーカーから出ているEDR(Endpoint Detection and Response)やアンチウイルスソフト製品が対象となっている。
同社は今回の検証結果について「新たな攻撃手法が発生した際には結果が変わる可能性があり、永続的な検出を保証するものではない」としている。
Emotet vs. セキュリティ製品 一部の製品では検出できず
活動再開したEmotetの手口の特徴として、電子メールに添付されている「Microsoft Office」(以下、Office)ファイルやマクロ経由でダウンロードされるEmotet本体が、展開前は1MB未満であるにもかかわらず、展開後に500MBを超えるファイルになる点が挙げられる。これはセキュリティ製品がサイズの大きなファイルの検出をうまくできない場合があるため、これを狙ったものだとされている。
また、これらのファイルはパスワードを使わないZIP圧縮のファイルが使われており、パスワード付きZIPファイルの受け取りを拒否する企業に向けた対策も採られていることが分かる。
マクニカは、Emotetがこうした新たな手口を使ってくる現状を踏まえて取り扱い製品の検知状況を検証した。同社によると、本稿執筆時点でのEmotetの感染ステップは以下の通りだ。取り扱っている製品がどのステップで感染を検知し、ブロックするのか、または検知できないのかを検証している。
- 添付ファイル付きのメールが送られてくる
- ユーザーが電子メールに添付された「Microsoft Word」などのOfficeドキュメントをオープンする
- ユーザーがマクロの実行を許可する
- マクロが実行され、Emotetがダウンロードされる
- Emotet本体がRegsvr32経由で実行される
- Emotetマルウェアに感染する
メーカー(50音順) | 製品名 | 検証結果 |
---|---|---|
CrowdStrike | Falcon | ステップ5のマクロ経由で起動したRegsvr32が、悪性のファイルをロードする動作を検知・ブロック |
CrowdStrike | Sandbox | docファイルはエラーが発生し分析不可。Emotet本体は分析・検知可能 |
Island | Island Enterprise Browser | ステップ2の送付された添付ファイルをブラウザ経由で閲覧した場合は検知が働き、安全な閲覧が可能 |
Menlo Security | Mail Isolation | ステップ2の添付ファイル内容の安全な閲覧および検知が可能 |
Proofpoint | Email Protection | ステップ1の電子メールに添付されたファイルの解凍後のサイズによって検知・ブロック可能(デフォルト設定では50MB) |
TeamT5 | ThreatSonar | ステップ6のスキャナー実行によって感染端末の検出が可能 |
Trellix(旧FireEye) | EX/ETP | ステップ1の電子メールに添付されたファイル解析時に検知・ブロック可能 |
Trellix(旧FireEye) | AX/VX/FX | ステップ1の電子メールに添付されたファイル解析時に検知可能 |
Trellix(旧FireEye) | NX | ステップ4のEmotet本体のダウンロード時に検知・ブロック可能 |
Trellix(旧McAfee) | ENS 脅威対策(AV) | 検知不可 |
Trellix(旧McAfee) | ENS 適応型脅威対策(NGAV) | 検知不可。ただしセキュリティレベルを「high」にすればステップ5で検知・ブロック可能 |
Trellix(旧McAfee) | Trellix EDR | ステップ5でマクロ経由で起動したRegsvr32が悪性のファイルをロードする動作を検知可能 |
活動再開以前のEmotetは添付ファイルではなく、電子メールに記載されたURL経由で感染トリガーになる不正なOfficeファイルを配送する手法も使っていた。マクニカはこのシナリオについても2パターンで検知状況を確認した。
- Webサイト上からZip圧縮された不正Officeファイルのダウンロード
- Webサイト上からZip圧縮されていない500MB超の不正Officeファイルのダウンロード
メーカー(50音順) | 製品名 | 検証結果 |
---|---|---|
Cato Networks | Next Generation Anti-Malware | パターン1検知可能。パターン検知不可 |
Menlo Security | Web Isolation | パターン1と2ともに検知可能 |
Netskope | Threat Protection | パターン1と2ともに検知不可 |
Skyhigh Security | Secure Web Gateway(Cloud)(GAM・ATD) | パターン1と2ともに検知不可 |
その他、電子メールなどで受信したファイルが社内の共有ストレージにアップロードされた場合を想定した検証も実施した。
- Zip圧縮された不正Officeファイルのアップロード
- Zip圧縮されていない500MB超の不正Officeファイルのアップロード
メーカー(50音順) | 製品名 | 検証結果 |
---|---|---|
Box | Box Shield | パターン1は検知不可。パターン2は検知可能 |
マクニカは上記の結果から、検証実施時点で一部製品での検知ができないことが分かったとし、各メーカーに働きかけを実施している。
関連記事
- Emotetが活動再開 対策する前にチェックすべき“組織の仕組み”とは?
複数のセキュリティベンダーがマルウェアEmotetの活動再開を報じています。今回も新たな攻撃手法を駆使しているらしく十分な警戒が必要ですが、対策を講じる前にあらためてチェックしておくべき項目を紹介しましょう。 - Emotetが3カ月ぶりに活動再開 Officeマクロに要警戒
CofenseがEmotetの活動再開を伝えた。この3カ月間は休眠状態にあったが、2023年3月7日に活動の再開が観測された。請求書を模した悪意あるMicrosoft Officeファイルが使われており、注意が必要だ。予測稼働期間は現時点では不明だ。 - Emotetが日本での活動を再開 警告回避に向けた新たな手法を確認
JPCERT/CCは2022年11月2日に、Emotetの感染を促す電子メールを日本で確認したと発表した。電子メールの添付ファイルでマクロを有効化させるための新たな攻撃手法も確認したと報告している。 - Emotet被害は日本が突出 2022年第1四半期の調査結果を公開――トレンドマイクロ
トレンドマイクロは2022年第1四半期のEmotet感染状況を伝えた。検出台数を地域別に比較したところ、日本が突出して検出数が多いという結果になった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.