VaronisでEmotetを検出して停止する方法

当社のインシデント対応チームは、前例のない数のEmotetマルウェア感染を追跡しています。Emotetには、これまでのアクティブな同時調査の3倍の記録があります。この投稿では、侵害の指標、それらに対処するための対策、および攻撃の各フェーズでEmotetを検出して停止するのにVaronisがどのように役立つかについて説明します。

エモテットレビュー

長い休止の後、2020年の春にTA542攻撃者（「ミイラスパイダー」としても知られています）は、世界中の複数のボットネットを使用し、改良されたマルウェアの武器を使用する新しい大規模なスパムキャンペーンで戻ってきました。

もともとバンキングトロイの木馬として知られていたEmotetは、2014年に最初に検出されました。その主な目標は、man-in-the-browser攻撃を使用して銀行の資格情報を傍受することでした。これまで、Emotetは、QbotやTrickbot（RyukとMimikatzが順番にダウンロードする）などのペイロードのダウンローダーとしても機能する、自己更新型の多用途のマルウェアスイートに進化しました。







Emotetは多態性であるため、ダウンローダーURL、C2 IP（コマンドおよび制御IP）/ポートの組み合わせ、スパムパターンなどの特定のIOC（侵害の指標）は頻繁に変更されます。この機能により、ルールベースの検出が猫とマウスのゲームになります。3つの異なるEmotetボットネットがあり、それぞれに独自のインフラストラクチャがあるという事実によって悪化します。Cryptolaemusチームによって管理されている非常に詳細な毎日のEmotetIOCを見つけることができます。

オンラインになると、Emotetはさまざまな方法を使用して、データを配布、エスカレーション、復元力の確保、および社外への移動を行います。さらに、Varonisの脅威の行動パターンは、Emotet違反の初期の兆候、および侵入後の異常な行動を検出できます。

一次妥協

Emotet感染ベクトルは、エポック1、エポック2、エポック3（略してE1、E2、E3）の3つのグローバルボットネットによってサポートされるフィッシングキャンペーンです。各エポックには、独自のC2フレームワーク、更新スケジュール、およびスパムパターンがあります。フィッシングメールには通常、新しいホストに感染してクラスターに追加するように設計された、マクロ対応の添付ファイルまたは悪意のあるリンクが含まれています。

最近の感染の波の間、悪意のあるEmotetの電子メールにはパスワードで保護されたZIP添付ファイルが含まれていました。これは、電子メールフィルタがスキャンせずにパスワードで保護されたアーカイブを通過し、悪意のあるマクロ対応ドキュメントを検出しないことを期待して行われます。このアプローチは「オペレーションジップロック」と呼ばれます。







パスワードは通常、レターの本文にプレーンテキストで示されます。例：

電子メールに添付されたZipファイル：2020年9月24日からの非常に緊急の情報.zip

ドキュメントのパスワードはLQWMFXu



です。パスワードで保護されたZIP添付ファイルのあるレター数の急増を修正する場合は、そのようなものを配置することをお勧めします。検疫する手紙。ただし、Emotetは直接添付のOfficeドキュメントも使用することに注意してください。

悪意のあるスパムキャンペーンは、英語、オランダ語、フランス語、ドイツ語、イタリア語、日本語など、多くの言語で検出されました。エポックはおそらく地理的に参照されます（たとえば、E3は日本では一般的です）。

成功の上に構築

Emotetは、HTTP POST要求を使用して、盗まれた電子メールと被害者の連絡先リストをC2サーバーに出力します。次に、ボットネットはこのデータを使用して送信者になりすまし、既存の会話に「返信」します。これは、送信者を変更するか、被害者のマシンを完全に制御できる場合は、被害者に代わって直接メールを送信することで実行できます。

この手法により、Emotetスパムは非常に説得力があり、新しい被害者が悪意のある添付ファイルを開く可能性が高くなります。

Varonisは、MicrosoftExchangeおよびExchangeOnlineのメールボックスを監視し、Emotetスパムパターンで使用される既知のパターンの辞書に一致する悪意のある添付ファイルを検出できます。プロキシを監視するEdgeモジュールの助けを借りて、ユーザーが電子メールの本文内のリンクをクリックしたことを検出できます。これにより、悪意のあるEmotetダウンローダーがダウンロードされます。



Varonisは、メールボックスを使用するすべてのアクション（送信/受信/開く/削除など）を分析します。これにより、侵害されてスパムキャンペーン（内部または外部）の送信を開始したアカウントをすばやく特定できます。ユーザー行動プロファイルは、監視対象のすべてのプラットフォームで生成されます。疑わしいログインイベント、ネットワーク接続、およびデータアクセスと組み合わされたメールの行動のわずかな逸脱により、誤検知が少なく正確なアラートが提供されます。







Varonis Edgeは、電子メールメッセージとOutlookの連絡先の盗難を検出できます。実際には、会社のプロキシカバレッジのおかげでこのデータ出力が見られました-EmotetはHTTPPOSTコマンドを使用しました。将来DNS秘密チャネルが作成された場合、DNSベースの抽出モデルでカバーされます。

C2サーバーへの接続は、いくつかの方法で検出できます。まず、評判の悪いドメインへの接続が確立された場合、Varonisはそれらの接続に警告してフラグを立てます。次に、Varonisは、ドメイン生成アルゴリズム（DGA）を使用して、攻撃者が多数の接続（「ホワイトスモーク」）でトラフィックを隠していることを検出します。第3に、攻撃者がDNSを秘密チャネルとして使用してコマンドやデータ送信をDNSクエリの形式で隠すと、Varonisの動作パターンが検出されます。最後に、Varonisは、新規または異常なユーザーエージェントの使用、インターネットへのアカウントの異常または最初のアクセス、外部リソースへのデータの異常なアップロードなど、異常なWebアクティビティについて警告します。

拡大

Emotetには、マルウェア機能を拡張するためにC2サーバーから動的にロードできる多くのモジュールがあります。スパムモジュール、電子メール盗難モジュール、バンキングモジュールなど

があります。注意すべきモジュールの1つは、EternalBlue（MS17-010）などのSMBエクスプロイトでこれを実行できる配布モジュールです。非表示の管理ボール（ICP $、C $、およびAdmin $）にアクセスします。 EternalBlueに対してまだ脆弱なすべてのマシンにパッチを適用し、管理者共有を無効にすることをお勧めします。

SMBはEmotetの主要な配布方法ですが、BitDefenseの研究者は、wlanAPI.dllのWlanEnumInterfaces関数を使用してWi-Fiネットワークをスキャンし、接続されたデバイスに伝播しようとする新しい配布手法を発見しました。

マルウェアは、組み込みのパスワードリストを使用して、パスワードで保護されたWi-Fiネットワークをクラックしようとします。成功すると、ネットワークのSSIDとパスワードの組み合わせがC2サーバーに転送され、今度はそのネットワーク上のクライアントを狙った別のブルートフォース攻撃が行われます。

特権のエスカレーション

攻撃者は、よく知られたオープンソースツールを使用して特権アカウントから資格情報を取得し、プレーンテキストで保存されているパスワードを探し、ActiveDirectoryから資格情報を収集します。管理者の資格情報を取得した後、攻撃者は1人以上のユーザーをDomainAdminsグループに追加できます。



Varonisは、ファイルシステムのアクティビティを監視することにより、既知の侵入ツールがいつディスクに保存されているか、またはユーザーがファイル共有でパスワードやその他の機密データを含むファイルを検索したかをすばやく判断します。通常、どのユーザーアカウントも、必要以上に多くのデータにアクセスできるため、このような検索は多くの場合有益です。詳細については、以下をご覧ください。



Emotetはよくのようなマルウェアの他の種類のダウンロードのために知られているリュークを、どのようなツールをハッキングターンのダウンロードでMimikatz収集資格情報とにエスカレート特権。Varonisは、Active Directoryのアクティビティを分析して、資格情報の収集（Kerberoastingなど）やその他の攻撃を検出します。これらの攻撃が成功する可能性を減らすために、Varonisはコントロールパネルに潜在的な弱点（たとえば、SPNを持つ管理アカウント）を表示します。ADおよびファイル共有での攻撃面を減らすと、攻撃者の生活が困難になります。アカウントが管理者グループに追加されると、Varonisからも通知されます。

ラストフロンティア

特権の侵入、拡散、およびエスカレーションの兆候に気づかなかった場合は、最大規模のデータストアをクリティカルレベルで保護し、WindowsおよびUNIXサーバー、NAS、SharePoint、およびExchangeデバイス（オンプレミスとOffice 365の両方）を保護することが重要です。



Varonisは、NetApp、EMCなどのOffice 365やNASデバイスなど、APIを介して監査を提供するプラットフォーム全体のファイルシステムアクティビティを分析します。 Windows、UNIX、Exchange、SharePointなど、ネイティブ監査を有効にするとパフォーマンスの問題や不十分な監査が発生する可能性があるプラットフォームでは、Varonisは独自の実績のあるエージェントを使用して操作をキャプチャします。



ユーザーが通常の動作と比較して異常な量のデータにアクセスし始めた場合、Varonisは1つ以上の動作パターンを通じてこれを検出します。ユーザーがファイルの暗号化を開始すると、これも検出されます。多くのお客様は、スクリプトを使用してこのようなインシデントの処理を自動化し、アカウントを無効にして、アクティブなセッションを強制終了します。







Varonisは、データアクセスが冗長である場所、つまり、ユーザーが不要なアクセス権を持っている場所を特定します。冗長なアクセス権が自動的に削除される可能性があります（直接およびセキュリティグループからアカウントを削除することによる）。機密データへのアクセスを制限すると、リスクが軽減され、攻撃者が作業しにくくなります。

結論

Emotetボットネットは、世界最大かつ最も洗練されたマルウェア配布兵器です。 TA542が次に使用する武器、またはどのAPTが武器を共有するかを予測することは困難です。私たちが知っていることは、Emotetキャンペーンは急増し、性質が大きく異なるため、パッチ管理、フィッシング防止トレーニング、メールフィルタリング、ユーザーデバイス保護、およびアプローチを含む、保護への階層化されたアプローチを持つことが非常に重要です。インフラストラクチャ全体と同等のデータ保護（データ中心）に重点を置いています。



包括的な検出は組織に優位性を与えることができますが、攻撃面を減らす（セキュリティを強化する）ことも同様に重要です。Varonisのデータ保護テクノロジーは、データからActive Directory、DNS、VPN、およびプロキシへの検出制御リングを構築します。Varonisは、潜在的に脆弱なアカウントと簡単にアクセスできるデータも強調表示するため、攻撃者がそれを利用する前に状況を修正できます。