Upgrade to Pro — share decks privately, control downloads, hide ads and more …

返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別

bomccss
November 30, 2020

返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別

2020年9月-11月にかけて日本で観測された返信型メールにパスワード付きzipを添付する攻撃はEmotetまたはIcedIDに感染するものである。
この2つの攻撃について違いを紹介するための資料である。

bomccss

November 30, 2020
Tweet

Other Decks in Technology

Transcript

  1. 2 日本向けEmotetとIcedIDの類似点と相違点 ▪ 受信者に届くメールには以下の類似点がある ▫ 返信型を装っている ▫ パスワード付きzipファイルが添付される ▫ パスワードはメール本文中に記載されている

    ▪ 攻撃には以下の相違点がある ▫ 感染するマルウェアが異なる ▫ メールを送信する手法が異なる ▫ マルウェアに感染させる目的が異なる ▫ 攻撃グループが異なる
  2. 7 Emotetを使用する攻撃グループ ▪ Emotetは単一のグループが使用するマルウェア ▪ 攻撃グループはMealybugs, Mummy Spider, TA542な どの名前で呼ばれる(どれも同じものを指す)

    ▪ Emotetは別のマルウェアに感染させる為の道具 ▫ 別のマルウェアを感染させることで、他の攻撃 グループから「使用料」を得ている ▫ 別のマルウェアは不正送金用途のものが多い
  3. 8 IcedIDを使用する攻撃グループ ▪ IcedIDは複数のアクターが使用するマルウェア ▫ 感染手法も本手法以外にも様々なケースが存在 ▫ (例) Emotetから二次感染 SmokeLoaderから二次感染(TA516)

    ▪ 本攻撃は Shathak , TA551 と呼ばれる攻撃グループ が行っている攻撃キャンペーン ▫ 過去には類似手法でUrsnifへの感染する攻撃を行 っていた ▫ 目的はIcedIDによる不正送金
  4. 9 まとめ 感染するマルウェア Emotet IcedID 時期(2020/11/26時点) 2020/9/2-10/30 2020/10/27-29, 11/3-5, 20

    メール 返信型 返信型(件名のみ) 添付ファイル パスワード付きzip , doc パスワード付きzip メール送信手法 Emotet感染端末 / 自動 メールサーバの不正利用 / 手動 攻撃グループ Mealybugs, Mummy Spider, TA542 Shathak ,TA551 メール送信に利用され た時の対策 Emotet感染有無の確認 メールアカウントのパスワ ード変更 メールサーバアクセス制限 メールアカウントのパスワ ード変更 受信したメールを開い た時の対策 Emotet感染有無の確認 EmoCheck IcedID感染有無の確認 (EmoCheckでは不可)
  5. 10 参考 ▪ 本資料にて説明した2つの攻撃グループ [Emotet/Ursnif(今はIcedID)]の2019年10月時の手法 の解説記事 ▫ Code Blue 2019

    「バンキングトロジャンのすべて/The Trouble with Trojans」レポート https://sec-owl.hatenablog.com/entry/2019/10/31/013313 ▪ 2020年10月以降のShathakの攻撃の詳細分析記事 ▫ IcedIDの感染につながる日本向けキャンペーンの分析 https://mal-eats.net/2020/11/12/analysis_of_the-_icedid_campaign_for_japan/ Presentation template by SlidesCarnival , Icon designed by Freepik from Flaticon