Upgrade to Pro — share decks privately, control downloads, hide ads and more …

返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別

Ad04710a6e5202a36059db1092b1d13c?s=47 bomccss
November 30, 2020

返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別

2020年9月-11月にかけて日本で観測された返信型メールにパスワード付きzipを添付する攻撃はEmotetまたはIcedIDに感染するものである。
この2つの攻撃について違いを紹介するための資料である。

Ad04710a6e5202a36059db1092b1d13c?s=128

bomccss

November 30, 2020
Tweet

Transcript

  1. 返信型メールで感染する2つの マルウェアEmotet / IcedIDの区別 ばらまきメール回収の会 @bomccss

  2. 1 本資料の背景と目的 ▪ 2020年9月-11月にかけて、日本向けに返信を装っ たなりすましメールにパスワード付きzipを添付す る攻撃が複数観測されている ▪ しかし、これらの攻撃は2種類に分類できる ▫ Emotetに感染する攻撃とIcedIDに感染する攻撃

    ▪ それぞれ攻撃手法や使用するマルウェアが違うため、 攻撃にあった場合の対処法が異なる ▫ どちらの攻撃か区別し対応する必要がある
  3. 2 日本向けEmotetとIcedIDの類似点と相違点 ▪ 受信者に届くメールには以下の類似点がある ▫ 返信型を装っている ▫ パスワード付きzipファイルが添付される ▫ パスワードはメール本文中に記載されている

    ▪ 攻撃には以下の相違点がある ▫ 感染するマルウェアが異なる ▫ メールを送信する手法が異なる ▫ マルウェアに感染させる目的が異なる ▫ 攻撃グループが異なる
  4. 3 受信するメールサンプル Emotetに感染するメール IcedIDに感染するメール

  5. 4 受信するメールサンプル Emotetに感染するメール IcedIDに感染するメール 共通する特徴 ・送信者をなりすましている (送信者に関係がある宛先に送信する) ・過去やり取りしたメールへの返信を装う ・docが含まれたパスワード付きzipが添付される ・docのマクロを実行するとマルウェアに感染する

    ⇒受信するメールのパターンは似ている ※受信者には違いが判別し辛い
  6. Emotetに感染した端末を利用したメールの送信から、感染した端 末内でメールや連絡先情報を盗みメール送信に利用する流れが、 EmotetのモジュールとC2で完結し自動化されていると思われる 5 Emotetに感染させる攻撃の流れ マルウェア 添付メール Emotet C2サーバ 配布サイト

    (改ざん) Emotet 感染端末 指令 操作 攻撃者 自動化 メール、連絡先等の盗んだ情報 メール送信 モジュール
  7. メール情報の収集やメールの送信は手動操作と考えられる。 メール送信のために不正利用されるメールサーバの情報をどうや って収集しているかは不明。IcedIDによりメール関連情報を盗ん でいるかは不明。 6 IcedIDに感染させる攻撃の流れ マルウェア 添付メール IcedID C2サーバ

    メールサーバ (不正ログイン) メール、連絡先等の情報 操作 攻撃者
  8. 7 Emotetを使用する攻撃グループ ▪ Emotetは単一のグループが使用するマルウェア ▪ 攻撃グループはMealybugs, Mummy Spider, TA542な どの名前で呼ばれる(どれも同じものを指す)

    ▪ Emotetは別のマルウェアに感染させる為の道具 ▫ 別のマルウェアを感染させることで、他の攻撃 グループから「使用料」を得ている ▫ 別のマルウェアは不正送金用途のものが多い
  9. 8 IcedIDを使用する攻撃グループ ▪ IcedIDは複数のアクターが使用するマルウェア ▫ 感染手法も本手法以外にも様々なケースが存在 ▫ (例) Emotetから二次感染 SmokeLoaderから二次感染(TA516)

    ▪ 本攻撃は Shathak , TA551 と呼ばれる攻撃グループ が行っている攻撃キャンペーン ▫ 過去には類似手法でUrsnifへの感染する攻撃を行 っていた ▫ 目的はIcedIDによる不正送金
  10. 9 まとめ 感染するマルウェア Emotet IcedID 時期(2020/11/26時点) 2020/9/2-10/30 2020/10/27-29, 11/3-5, 20

    メール 返信型 返信型(件名のみ) 添付ファイル パスワード付きzip , doc パスワード付きzip メール送信手法 Emotet感染端末 / 自動 メールサーバの不正利用 / 手動 攻撃グループ Mealybugs, Mummy Spider, TA542 Shathak ,TA551 メール送信に利用され た時の対策 Emotet感染有無の確認 メールアカウントのパスワ ード変更 メールサーバアクセス制限 メールアカウントのパスワ ード変更 受信したメールを開い た時の対策 Emotet感染有無の確認 EmoCheck IcedID感染有無の確認 (EmoCheckでは不可)
  11. 10 参考 ▪ 本資料にて説明した2つの攻撃グループ [Emotet/Ursnif(今はIcedID)]の2019年10月時の手法 の解説記事 ▫ Code Blue 2019

    「バンキングトロジャンのすべて/The Trouble with Trojans」レポート https://sec-owl.hatenablog.com/entry/2019/10/31/013313 ▪ 2020年10月以降のShathakの攻撃の詳細分析記事 ▫ IcedIDの感染につながる日本向けキャンペーンの分析 https://mal-eats.net/2020/11/12/analysis_of_the-_icedid_campaign_for_japan/ Presentation template by SlidesCarnival , Icon designed by Freepik from Flaticon