Contents
https://twitter.com/ando_Tw/status/1504677636840525824?s=20&t=9EF8uGfJaMUlKvtWd17Fyg
Kazunori ANDO @ando_Tw · 3月18日 Emotetの機能、感染PC・アカウントの見つけ方、感染PCへの対処、短く箇条書きでまとめて公開しときました > https://facebook.com/kazunori.ando....
https://www.ppml.tv/emotet.txt にも置かれている。
2022.3.18 初版 2022.6.13 改訂 2022.7.19 テキストファイルへのリンク追加(https://www.ppml.tv/emotet.txt)
1. Emotetの機能
1.1 メールを介した感染・感染メールを送信する機能 1.1.1 Excel, Word, PDF, Zip(パスワード付きも)添付ファイル 「コンテンツの有効化」ボタンをクリックすると感染 1.1.2 ショートカット(.lnk)の添付は踏んだだけで感染 1.1.3 メール中のURL 1.1.4 過去のメールを利用した感染メールの生成 1.2 LAN内での横感染 1.2.1 SMBの脆弱性(EternalBlue)の利用 1.2.2 Windowsネットワークへのログオン 1.2.3 管理共有の利用 1.2.4 サービス登録 1.2.5 CobaltStrikeの利用 1.3 IDとパスワードの窃取 1.3.1 Outlook等MUAに保存されているメールサーバ認証情報 1.3.2 ブラウザに保存されているWebサービス認証情報 1.3.3 Windowsに保存されているサービスの認証情報 1.3.4 アドレス帳の情報 1.3.5 Chromeに保存されているクレジットカード情報(New!) 1.4 他のマルウェアのダウンロード・実行機能あり
2. 感染端末・アカウントの見分け方
- Emotetは少なくとも現状ではWindows以外への感染は確認されていません。
- 2.1 感染メールのFrom(差出人)ヘッダの情報
Fromヘッダは以下のような形式である場合が多い。 From: (株)エモテット詐称部 <foo@affected.example.co.jp> ^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^ ディスプレイ・ネーム メールアドレス Emotetの場合、ディスプレイ・ネームは過去メールや アドレス帳から窃取した情報で詐称されるので、感染者は メールをやり取りしている範囲に存在するが、自組織とは 限らない。 一方メールアドレスは感染者のものである場合が多い。 メールアドレスが自組織のアドレスである場合は自組織の PCの感染を疑わなければならない。 ※ これはDMARCでfailにならないための仕様と考えられる。
- 2.2 感染が疑われるPCのチェック
2.2.1 JPCERT/CCがgithubで配布しているEmoCheckを実行
- ※Emotetは変異が速く「ウイルス対策ソフト」で検知できない場合が多い。
3. 感染PCへの対処
3.1 感染PCをネットワークから切り離す(有線・無線とも) 3.2 盗難されたID・パスワードをMUA・ブラウザ等で確認 3.3 感染していない他のPCやスマホからパスワード等を全部変更 3.3.1 オンラインバンキング(最優先で変更) 3.3.2 クレジットカードに紐付けのあるECサイト(最優先で変更) 3.3.3 Chromeにクレジットカード番号等を保存していた場合は そのカードの利用停止 3.3.4 既にパスワードが悪用されている場合 該当サービスでそのIDの利用停止を申請して下さい 3.4 感染PCのOSを上書きインストール 3.4.1 ウイルス対策ソフトでスキャンを実行 ※上書きインストールでも消去できないマルウェア対策 3.5 同じLANに接続されているPCでEmoCheckを実行 3.5.1 感染が見つかったら3.1からの手順を実行
【参考情報】 JPCERT/CCのEmotet対応FAQ https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
警察庁のEmotet解析のページ https://www.npa.go.jp/cyberpolice/important/2020/202012111.html
ZScalerのEmotet解析の記事 https://www.zscaler.com/.../return-emotet-malware-analysis https://www.zscaler.jp/blogs/security-research/return-emotet-malware
Bleeping ComputerのEmotetに新機能の記事 https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-credit-cards-from-google-chrome-users/
警察庁がEmotetがクレカ情報を盗むようになったことを確認 https://www.npa.go.jp/cyberpolice/important/2020/202012111.html
1. その他
-- ToshinoriMaeno 2022-07-19 00:14:48 https://iototsecnews.jp/2022/04/19/emotet-botnet-switches-to-64-bit-modules-increases-activity/
https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-credit-cards-from-google-chrome-users/ Emotet malware now steals credit cards from Google Chrome users By Sergiu Gatlan June 8, 2022 12:20 PM