マルウェア
EMOTETのボットネットが攻撃メール送信を再開
2022年に入り、過去最大規模の拡散となっていたEMOTETですが、7月中旬以降、攻撃メールの送信が停止していました。しかし、この11月2日、EMOTETのボットネットから攻撃メールの送信が再開されたことが確認されました。
2022年に入り、過去最大規模の拡散となっていたEMOTETですが、7月中旬以降、攻撃メールの送信が停止していました。しかし、この11月2日、EMOTETのボットネットから攻撃メールの送信が再開されたことが確認されました。先月10月11日前後にはEMOTETの本体モジュールの更新が確認されており、攻撃メール再開間近と推測されていましたが、その通りとなりました。EMOTETは不定期にメール送信などの活動休止と再開を繰り返すことで知られており、再開後には攻撃手法の変化が見られることが多くなっています。本記事では、今回の攻撃メール再開にあたって注意すべき変化のポイントと共に、その手法から既存環境の設定でできる防御策を併せて解説いたします。
/emotet-botnet-resumes-sending-attack-emails/Picture1.jpg)
休止前、2022年7月までに観測されたEMOTETの攻撃の流れ:
EMOTETは主に2段階に攻撃が分類されます。1段階目はメールを用いてマルウェアを送付し、実行した端末にEMOTET本体を感染させる段階です。この段階ではダウンローダとなるEMOTETがメールによって送付され、ユーザがExcel内の不正マクロを有効化してしまうことで不正サイトへの接続が発生し、EMOTET本体であるDLLファイルがダウンロード・実行されます。この際、不正マクロとしては以前からVBA形式のマクロが使われてきましたが、2022年に入り、主に古いExcel 4.0マクロの悪用が目立つようになりました。
また、4月以降には別の手法として、ショートカットリンク(.lnk)ファイルの悪用も確認されました。ショートカットリンクファイルは通常の利用法であれば「リンク先に記載されているプログラムを実行する」ものですが、攻撃者はこれを悪用し、cmd.exeを利用してPowerShellのスクリプトを実行するコマンドを実行させます。また、ショートカットリンクファイルの拡張子(.lnk)はファイル名の拡張子を表示する設定を行っていた場合も表示されず、アイコンを書き換えることも容易であり、偽装が可能です。レジストリを変更することで拡張子(.lnk)を表示することは可能となりますが、例え.lnkと記述された文字列があった場合も、プログラムやファイルに類似したアイコンを見かけたときに正しく判別し、不審であると判断できる人はそれほど多くはないでしょう。このショートカットリンクファイルの悪用は、Microsoft Officeにおいてマクロ機能(VBAおよびExcel4.0)の無効を標準化することが発表されたことで、マクロによる攻撃の有効性が落ちることを予期し、新しい攻撃手法の開拓を狙った可能性があります。また、ショートカットリンクファイルのEMOTETはMicrosoft Officeがインストールされていない端末でも実行可能であることから、今まで被害に遭わなかったユーザや端末も感染してしまう可能性があります。
2段階目では取得したDLLファイル、つまりEMOTETの本体が端末内で実行され、永続化とともに定期的にC&Cサーバへの通信を行います。この通信が成功した後にC&Cサーバからの命令に従って、メールファイルやアドレス帳などの端末内に保存された情報が盗み出されます。2022年7月時点では、メールの送付から感染、C&Cサーバへの接続まで以下の流れが観測されました。
/emotet-botnet-resumes-sending-attack-emails/Picture2R.png)
2022年7月までのEMOTETにおいては、メールで送り付けるスクリプトを小まめに変更する点、難読化の手法を幾度も変更する点、モジュールを32bitから64bitへと切り替えるなどの変更が見られました。EMOTETの背後の攻撃者は、成功率を高めるために上述した手法や、通信先を短い期間で更新する手法を用いました。これにより、パターンマッチング方式の検出対応やウェブレピュテーションによる新規URLの評価よりも早く攻撃が着弾してしまい、従来のセキュリティ対策による検知網をすり抜けやすかった面があったと考えられます。
このように、攻撃者は自身の攻撃を成功させるため、攻撃対象が施す様々な対策を観察し、それらを回避する手法を試行してくるものです。
今回の攻撃メール再開後に観測されたEMOTETの攻撃の流れ:
およそ4カ月間の一時的な活動停止の後、2022年11月には新たな感染の誘導を狙うメッセージを追加したExcel 4.0マクロを悪用するEMOTETのメール送信が再開しました。確認されたEMOTETの攻撃メールでは、以前と同様に、不正マクロを含んだExcelファイルが添付ファイルとして使用されていました。ただし、このExcelファイルの内容として、「マクロが有効化できない場合、以下のパスにファイルを移動し実行してください」と誘導するメッセージが含まれていました。
記述されたパスはMicrosoft Excelにおいてデフォルトで”信頼済みの場所”として設定されており、指示に従い実行すると信頼済みのドキュメントと判断されExcelファイル起動時にマクロが実行されてしまいます。これはMicrosoft Officeにおいてマクロを標準的に無効化するアップデートが配信されたことを受け、EMOTETの攻撃者が新たな感染手法の一つとして試行しているものと考えられます。
ただし、通常であれば記述されたパスでのファイル実行は管理者権限が必要となり一般ユーザ権限では実行できないため、正しく権限管理を行っている企業組織の環境では、この誘導手法の影響は少ないでしょう。もし一般ユーザが管理者権限で容易に実行できてしまう環境であった場合には注意が必要です。
/emotet-botnet-resumes-sending-attack-emails/Picture3.jpg)
/emotet-botnet-resumes-sending-attack-emails/Picture4.jpg)
EMOTETに感染してしまった場合、メールやアドレス帳が盗み出されてしまいます。その盗み出されたメールはEMOTETの攻撃者によって悪用されることで、過去にメールのやり取りを行った関係者にEMOTETが添付されたメールが送られてしまいます。更に感染したままEMOTETを対処せずにおくと、EMOTETのオペレータによる活動を許し、異なるサイバー攻撃の被害やランサムウェアの侵入経路となる可能性があり、脅威にさらされた状態となります。また、感染した端末のメールアカウントの認証情報が乗っ取られ、悪用されることで意図せずEMOTETのメールを送信してしまった事例も報告されており、より一層の注意が必要となります。
変化を続けるEMOTETに学ぶ、対策の最適解
2022年7月のEMOTET、2022年11月の攻撃再開時のEMOTETにおいてはregsvr32を用いてDLLを読み込み、DLLに記述された外部C&Cサーバへと通信することが確認されています。解説したファイアウォール機能の設定によってregsvr32の通信をブロックすることで、届いたメールに添付されたEMOTETが実行されてしまっても、最終的な感染まで至らずに防ぐことが出来ます。
標準でOfficeのマクロ機能を無効化する環境が増えた今、攻撃者がマクロに依存しない攻撃手法を行うことも想定されます。PowerShellやregsvr32などの正規プログラムによる通信を制御することは、EMOTETだけの対策に限らず、サイバー攻撃全般への対策の一手となります。
現在、EMOTETの対策として、不審なメールを開かない、添付ファイルを開かない、マクロの有効化を押さないなど、ユーザによる操作についても注意喚起されています。怪しいと思われるメールを確実に判断し開かなければよいのですが、攻撃者は返信型メールのように、判断を迷わせる手法も駆使してきます。その中でユーザが万一実行してしまった場合でも感染を防げるよう、Excelにおける対策案とショートカットリンクファイルにおける対策案をそれぞれ紹介します。Excelについてはマクロの実行を制御すること、ショートカットリンクファイルについてはWindowsの正規プログラムによる外部への通信を防ぐことが重要になります。
攻撃手法 |
概要 |
対処 |
ExcelなどOffice文書ファイルの悪用 |
メールに添付されたExcelなど文書ファイル内の不正マクロが実行されることで感染。
|
マクロの実行を制御(VBA およびExcel4.0マクロの無効化): ・Office 2019およびOffice 2016の場合、通常Excel for Microsoft365と同様のマクロ設定画面は存在しておらず、グループポリシーの追加による制御が必要 |
ショートカットリンクファイルの悪用 |
メールに記載されたショートカットリンクをクリックすることで、PowerShellなどのWindows正規プログラムを経由して感染。
|
Windowsの正規プログラムによる外部への通信を防ぐ ・エンドポイントセキュリティに搭載されたファイアウォール機能を有効にする ・Windows Defender ファイアウォールによる制御を行っている場合は、プログラム名を指定し制御(正規プログラムのため、業務環境に影響ないよう、業務利用が判明している、信頼できるサーバへの通信のみブロックできるよう外部IPアドレスとの通信を制限することを推奨します) |
Excel4.0マクロはExcelのポリシー制御を行うことで、ユーザに実行の可否を委ねずに無効化することが可能です。これにより組織の従業員の自助努力に任せざるを得ない状況から脱却することが期待できます。マクロの無効化を行った場合、ユーザが万一不審なメールに添付されていたExcelファイルを開いてしまっても、マクロは実行できず、EMOTETに感染せずに済むようになります。Excel4.0 マクロは古くから存在するExcelのシートとして挿入することで利用できるマクロであり、昨今の一般的に呼ばれるVBAマクロとは異なる仕組みを持っています。VBAマクロは業務で利用しているとしても、Excel4.0マクロを利用しているユーザはどれほど居るでしょうか。
Excel4.0マクロの無効化手順はExcel for Microsoft365の場合と、Office 2019およびOffice 2016は設定が異なります。Excel for Microsoft365の場合は既にトラストセンターに設定項目が用意されており、Excel4.0マクロ、およびVBAマクロを実行させないよう制御することができます。
/emotet-botnet-resumes-sending-attack-emails/Picture5.jpg)
Office 2019およびOffice 2016の場合、通常ではExcel for Microsoft365と同様のマクロ設定画面は存在しておらず、グループポリシーの追加による制御が必要となります。グループポリシーは新たにインターネットからテンプレートをダウンロードする必要があり、「Microsoftによる設定手順を解説しているコミュニティブログ」にて、テンプレート入手場所と設定手順が公開されています。
実際にテンプレートを導入し検証を行ったところ、Office 2019およびOffice 2016においてはVBAマクロとExcel4.0マクロを個別に無効化することはできず、VBAマクロとExcel4.0マクロどちらも無効化する必要がありました(2022年10月現在)。どちらも無効化する場合、グループポリシー「マクロ通知設定」および「ExcelでXLMマクロが実行されないようにする」を有効とすることで、Excel4.0マクロが記述されたExcelを開いてしまった場合も、ユーザは実行することができません。マクロを使わないユーザ環境の場合は、グループポリシーを設定し制御を行うことでより強固なユーザ環境とすることが期待できます。
/emotet-botnet-resumes-sending-attack-emails/Picture6.jpg)
一方で、Excelを用いず、ショートカットリンクファイルを悪用する攻撃に対しても対策が必要です。ショートカットリンクファイルはPowerShellなどのWindows正規プログラムを経由して感染するため、起因となる正規プログラムを正しく制御することで対策とすることが可能です。例えば、Windowsに標準搭載されているWindows Defender ファイアウォールによる制御を行っている場合は、プログラム名を明記して通信をブロックすることで対応できます。また、トレンドマイクロのエンドポイントセキュリティ製品であるTrend Micro Apex Oneをご利用の場合、搭載されたファイアウォール機能を利用することで、PowerShellやregsvr32などの正規プログラムからの通信をブロックや検知することが可能です。
設定を反映するにあたり、正規プログラムは組織内や組織外へのソフトウェアアップデートサーバなどに対して通信を行う可能性もあり、環境によっては影響が出てしまう可能性があるため注意が必要です。その場合、業務で利用することが判明している、信頼できるサーバへの通信のみブロックできるように外部IPアドレスとの通信を制限すると良いでしょう。制限にあたって、ブロックせずログに出力する設定や、まずは一部端末に反映し、その後段階的に組織内に設定を広げていくなど、運用を工夫することで業務影響を低減できます。以下は攻撃で悪用されることがある正規プログラムの一例です。業務に影響がないことを検討のうえでブロックすることにより、特定マルウェアのみに限らない広いサイバー攻撃への対策が行えます。
プログラム名およびプログラムパス例
powershell.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
regsvr32.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
cmd.exe
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
mshta.exe
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
certutil.exe
C:\Windows\System32\certutil.exe
C:\Windows\SysWOW64\certutil.exe
wscript.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
cscript.exe
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe
curl.exe
C:\Windows\System32\curl.exe
C:\Windows\SysWOW64\curl.exe
トレンドマイクロのソリューション
今回活動再開したEMOTETに対するトレンドマイクロ製品での対応は以下のサポートニュースで確認できますのでご参照ください。
調査・執筆:佐藤 佑哉(トレンドマイクロ サイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センターテクニカルアカウントマネージャ)
構成:岡本勝之(セキュリティエバンジェリスト)