Upgrade to Pro — share decks privately, control downloads, hide ads and more …

返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別

bomccss
November 30, 2020
Technology
3
1.9k

返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別

2020年9月-11月にかけて日本で観測された返信型メールにパスワード付きzipを添付する攻撃はEmotetまたはIcedIDに感染するものである。
この2つの攻撃について違いを紹介するための資料である。

bomccss

November 30, 2020
Tweet

Other Decks in Technology

See All in Technology
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
420
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
130
飲食店データの分析事例とそれを支えるデータ基盤
kimujun
0
130
アジャイルチームがらしさを発揮するための目標づくり / Making the goal and enabling the team
kakehashi
3
110
New Relicを活用したSREの最初のステップ / NRUG OKINAWA VOL.3
isaoshimizu
3
620
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
1
110
Can We Measure Developer Productivity?
ewolff
1
150
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110
アジャイルでの品質の進化 Agile in Motion vol.1/20241118 Hiroyuki Sato
shift_evolve
0
170
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
Platform Engineering for Software Developers and Architects
syntasso
1
520

Featured

See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
The Pragmatic Product Professional
lauravandoore
31
6.3k
KATA
mclloyd
29
14k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
Documentation Writing (for coders)
carmenintech
65
4.4k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
What's in a price? How to price your products and services
michaelherold
243
12k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
720
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k

Transcript

  1. 返信型メールで感染する2つの マルウェアEmotet / IcedIDの区別 ばらまきメール回収の会 @bomccss

  2. 1 本資料の背景と目的 ▪ 2020年9月-11月にかけて、日本向けに返信を装っ たなりすましメールにパスワード付きzipを添付す る攻撃が複数観測されている ▪ しかし、これらの攻撃は2種類に分類できる ▫ Emotetに感染する攻撃とIcedIDに感染する攻撃

    ▪ それぞれ攻撃手法や使用するマルウェアが違うため、 攻撃にあった場合の対処法が異なる ▫ どちらの攻撃か区別し対応する必要がある

  3. 2 日本向けEmotetとIcedIDの類似点と相違点 ▪ 受信者に届くメールには以下の類似点がある ▫ 返信型を装っている ▫ パスワード付きzipファイルが添付される ▫ パスワードはメール本文中に記載されている

    ▪ 攻撃には以下の相違点がある ▫ 感染するマルウェアが異なる ▫ メールを送信する手法が異なる ▫ マルウェアに感染させる目的が異なる ▫ 攻撃グループが異なる

  4. 3 受信するメールサンプル Emotetに感染するメール IcedIDに感染するメール

  5. 4 受信するメールサンプル Emotetに感染するメール IcedIDに感染するメール 共通する特徴 ・送信者をなりすましている (送信者に関係がある宛先に送信する) ・過去やり取りしたメールへの返信を装う ・docが含まれたパスワード付きzipが添付される ・docのマクロを実行するとマルウェアに感染する

    ⇒受信するメールのパターンは似ている ※受信者には違いが判別し辛い

  6. Emotetに感染した端末を利用したメールの送信から、感染した端 末内でメールや連絡先情報を盗みメール送信に利用する流れが、 EmotetのモジュールとC2で完結し自動化されていると思われる 5 Emotetに感染させる攻撃の流れ マルウェア 添付メール Emotet C2サーバ 配布サイト

    (改ざん) Emotet 感染端末 指令 操作 攻撃者 自動化 メール、連絡先等の盗んだ情報 メール送信 モジュール

  7. メール情報の収集やメールの送信は手動操作と考えられる。 メール送信のために不正利用されるメールサーバの情報をどうや って収集しているかは不明。IcedIDによりメール関連情報を盗ん でいるかは不明。 6 IcedIDに感染させる攻撃の流れ マルウェア 添付メール IcedID C2サーバ

    メールサーバ (不正ログイン) メール、連絡先等の情報 操作 攻撃者

  8. 7 Emotetを使用する攻撃グループ ▪ Emotetは単一のグループが使用するマルウェア ▪ 攻撃グループはMealybugs, Mummy Spider, TA542な どの名前で呼ばれる(どれも同じものを指す)

    ▪ Emotetは別のマルウェアに感染させる為の道具 ▫ 別のマルウェアを感染させることで、他の攻撃 グループから「使用料」を得ている ▫ 別のマルウェアは不正送金用途のものが多い

  9. 8 IcedIDを使用する攻撃グループ ▪ IcedIDは複数のアクターが使用するマルウェア ▫ 感染手法も本手法以外にも様々なケースが存在 ▫ (例) Emotetから二次感染 SmokeLoaderから二次感染(TA516)

    ▪ 本攻撃は Shathak , TA551 と呼ばれる攻撃グループ が行っている攻撃キャンペーン ▫ 過去には類似手法でUrsnifへの感染する攻撃を行 っていた ▫ 目的はIcedIDによる不正送金

  10. 9 まとめ 感染するマルウェア Emotet IcedID 時期(2020/11/26時点) 2020/9/2-10/30 2020/10/27-29, 11/3-5, 20

    メール 返信型 返信型(件名のみ) 添付ファイル パスワード付きzip , doc パスワード付きzip メール送信手法 Emotet感染端末 / 自動 メールサーバの不正利用 / 手動 攻撃グループ Mealybugs, Mummy Spider, TA542 Shathak ,TA551 メール送信に利用され た時の対策 Emotet感染有無の確認 メールアカウントのパスワ ード変更 メールサーバアクセス制限 メールアカウントのパスワ ード変更 受信したメールを開い た時の対策 Emotet感染有無の確認 EmoCheck IcedID感染有無の確認 (EmoCheckでは不可)

  11. 10 参考 ▪ 本資料にて説明した2つの攻撃グループ [Emotet/Ursnif(今はIcedID)]の2019年10月時の手法 の解説記事 ▫ Code Blue 2019

    「バンキングトロジャンのすべて/The Trouble with Trojans」レポート https://sec-owl.hatenablog.com/entry/2019/10/31/013313 ▪ 2020年10月以降のShathakの攻撃の詳細分析記事 ▫ IcedIDの感染につながる日本向けキャンペーンの分析 https://mal-eats.net/2020/11/12/analysis_of_the-_icedid_campaign_for_japan/ Presentation template by SlidesCarnival , Icon designed by Freepik from Flaticon