マルウェア
徹底検証「EMOTET」:検出技術による攻撃手口の可視化
本記事ではこのEMOTETの、不正マクロを含むOffice文書ファイル、ショートカットリンクファイルの双方の手口に対して弊社トレンドマイクロの検出技術がどのように有効であるのかを検証いたしました。検証にあたっては、当社のサポートケースでご提供いただいた検体やインターネット上から入手可能なサンプルを使用しました。
現在、国内で最も大きな脅威となっているマルウェアとして「EMOTET」が挙げられます。本ブログでもこれまで、EMOTETに関する様々な注意喚起と解析記事を取り上げてまいりました。EMOTETの主な拡散経路はマルウェアスパム、つまりメール経由です。EMOTETの攻撃メールのほとんどで、不正マクロを含むOffice文書ファイルを添付ファイルなどの形式で開かせる手口が使われてきました。これに加えこの4月末からは、Windowsのショートカットリンク(.lnk)ファイルを悪用する新たな手口も確認しています。本記事ではこのEMOTETの、不正マクロを含むOffice文書ファイル、ショートカットリンクファイルの双方の手口に対して弊社トレンドマイクロの検出技術がどのように有効であるのかを検証いたしました。検証にあたっては、当社のサポートケースでご提供いただいた検体やインターネット上から入手可能なサンプルを使用しました。またトレンドマイクロの検出技術としては、クロスレイヤの検知と対応(XDR)機能を搭載する脅威防御のプラットフォーム「Trend Micro Vision One™」を用いました。検証のシナリオとしては、添付ファイルに対し従来型検出技術(パターンマッチング)が未対応のタイミングでEMOTETのマルウェアスパムが着信し、利用者が添付ファイルを開いてしまった場合を想定します。
◆添付ファイルが「不正マクロを含むEXCELファイル」の場合
EMOTETのマルウェアスパムを利用者が開いてしまった裏で、以下のことが起こります:
- 利用者が添付ファイルであるEXCELファイルを開き、マクロを有効化してしまったことで不正マクロが実行される
- 実行された不正マクロは外部の不審サーバ(pakistannakliye<省略>.com、spinoffyarnshop<省略>.com)へ接続
- 不審サーバからEMOTETの本体(ファイル名:Intsfempighuu.rxa)をダウンロード
- ダウンロードされたEMOTET本体ファイルを正規プロセスregsvr32.exeから実行
- EMOTET本体の活動永続化のため、自動起動設定(レジストリのRUNキーに登録)を行う
これにより、EMOTET本体が活動を開始します。不審サーバ名、本体ファイル名などは今回の検証で使用した検体の場合であることに注意しください。
検証の結果、「Trend Micro Vision One™」ではこのEMOTET本体の実行に繋がる活動の検出から以下の情報が記録されることを確認しました:
・実行されたプロセスの情報(EXCEL.EXE、regsvr32.exe)
・接続した不審サーバの情報(pakistannakliye<省略>.com、spinoffyarnshop<省略>.co)
・生成されたファイル「Intsfempighuu.rxa」の情報
・変更されたレジストリ「HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」の情報
これらの情報は「Trend Micro Vision One™」のWorkbench機能により相関分析され、今回の検出における攻撃手法、および関与しているオブジェクトの概略が以下の図のように可視化されます。また合わせて実行プロファイルを表示させることで、詳細なプロセスチェーンも可視化されます:
◆添付ファイルが「ショートカットリンクファイル(.lnk)」の場合
添付ファイルがショートカットリンクファイルだった場合も裏で起こる活動は不正マクロを含むOffice文書ファイルの場合とほぼ同じです:
- 利用者が添付ファイルであるショートカットリンクファイルを開くとPowerShellのスクリプトが実行される
- 実行されたスクリプトは外部の不審サーバへ接続
- 不審サーバからEMOTETの本体をダウンロード
- ダウンロードされたEMOTET本体ファイルを正規プロセスregsvr32.exeから実行
- EMOTET本体の活動永続化のため、自動起動設定(レジストリのRUNキーに登録)を行う
これにより、EMOTET本体が活動を開始します。
不正マクロを含むOffice文書ファイルの場合と同様に、これらの活動は「Trend Micro Vision One™」により記録されました。不正マクロを含むOffice文書ファイルの場合との相違点としては、開いたショートカットリンクから実行されるのがpowershell.exeなどのスクリプトであることです。「Trend Micro Vision One™」のMITRE ATT&CKベースの攻撃手法検出を行う機能であるOAT(Observed Attack Technique)ではこの不正なショートカットリンクの実行を捕捉し、以下の図のように可視化していました:
この可視化されたショートカットの内容からは、不要なスペースの挿入やエンコードされたコマンドといった不審点が確認できます。
また、実行プロファイルで確認すると以下のようなプロセスチェーンが表示されました。オレンジの表示は、リスクが高い攻撃手法の可能性を表しています:
Office形式のEMOTETでは直接regsvr32.exeを実行していたのに対し、ショートカットリンクではリンク内に埋め込まれた引数から直接PowerShellを実行し、その後regsvr32.exeへ推移する違いがあることが分かります。
◆検証から得られる考察と対策
今回はEMOTETの活動をトレンドマイクロの検出技術がいかに捉えられるのかを「Trend Micro Vision One™」を例に検証しました。今回の検証ではEMOTET本体がregsvr32.exeから起動されていましたが、rundll32.exeから起動されるものも確認されています。攻撃者は常に検出を逃れようとしており、今後も変化することが予想されます。トレンドマイクロのソリューションもそれらの変化に応じて日々アップデートされます。
もし今回検証したような検知があった場合にはどのように対応するべきでしょうか。今回検証を行った「Trend Micro Vision One™」ではResponse機能によって、感染被疑端末の論理隔離、検出ファイルのハッシュ値や不審サイトのIPアドレスなどを不審オブジェクトとしてブロックリストに登録することで、EMOTETの活動を止めることができます。これにより被害を極小化した後、他に不審な活動がないかを引き続き注視し対応していくことが可能になります。
このように「Trend Micro Vision One™」では、Workbenchで確度の高い攻撃の全体の概要を把握ながら、OATや実行プロファイルで詳細な痕跡まで可視化することが可能です。検出された情報から汚染箇所の判別、対処までシームレスに対応が可能となっていますので、ご活用ください。
調査・執筆:Trend Micro Research
記事構成:平子 正人(セキュリティマーケティンググループ)、岡本 勝之(セキュリティエバンジェリスト)