どもどもにゃんたくです(「・ω・)「ガオー
ここ数日、ネットメディアニュースなどで『Emotetが活動再開!』という内容の記事を見かけることが増えましたね。
JPCERT/CCからも2020年7月20日に注意喚起が出ています。
www.jpcert.or.jp
www.itmedia.co.jp
news.mynavi.jp
Emotetに感染しないためにはどうすれば良いかですが、
基本的には以下3点を行う事が大事です。
・メールに添付されたファイルを開かない
・メール本文に記載されたURLにアクセスしファイルをダウンロードしない
・ファイルのマクロ有効化ボタンを押さない(マクロを有効化しない)
しかし、そもそも不審なメールを「怪しい」と気づけないパターンがほとんどです。
特にいつもやり取りしているメールの返信としてEmotetに感染させるメールが届くこともあるので余計にやっかいです。
ですので、メールの文面だけでやり取りが完了しないメールが来た時は警戒する、をまずは心がけるようにしましょう。
さて、ぼくのブログを読んでくださっている方々の大半はセキュリティ業務に就いている方だと思います。ですので、今回のメモはなにかしらの組織に所属しているセキュリティ業務の方々に活用してもらえたらいいなと思ってまとめてみました。
下記にまとめた内容がベストではない、と思ってください。あくまでも『にゃん☆たく』の情報の集め方の方法を書いただけですので誤解のないようよろしくお願いいたします。
Emotetについての注意喚起
まずはコレだけは絶対に見といて欲しい注意喚起をまとめました。▼JPCERT/CC
マルウエア Emotet の感染に関する注意喚起
マルウエア Emotet の感染活動について
▼IPA
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構
▼Emotetに対しての対応FAQ(JPCERT/CC)
マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
※個人的にはこのFAQめっちゃ参考になると思っています
EmotetのIoC情報を知りたい
EmotetについてのIoC情報(通信先情報、検体情報など)をまとめました。監視などを行う際に活用してみてください。
ANY.RUN
オンラインサンドボックスツールのANY.RUNがまとめてくれている情報です。①https://any.run/malware-trends/emotet
Emotetがどういうマルウェアなのかを英語ですが分かり易く書いてくれています。ついでにIoC情報も見ることができます。
②https://app.any.run/submissions
ANY.RUNでスキャンされた実ファイルの解析結果を見る事ができます。右上の検索窓にに「Emotet」と入れて検索してみてください。ちなみに解析されたファイルはダウンロードすることもできます。(ので、気をつけてくださいね)
Emotetの話題からは逸れますが、このANY.RUNで気をつけてほしいこともあります。そちらの内容については下記ブログを参照してください。
VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録
URLhaus
abuse.chが悪意のあるURLを共有することを目的として公開してくれているサイトです。①https://urlhaus.abuse.ch/browse/tag/emotet/
URLhausに登録されるEmotetに感染させる悪意のあるURLの推移、URLを確認することができます。
②https://urlhaus.abuse.ch/api/
URLhausに登録された情報をAPIを使って活用することができます。特に監視ルール等で活用できるのが以下2つです。
・Database dump (CSV)
1:URLhaus database dump (CSV) containing recent additions (URLs) only (past 30 days):Download CSV(recent URLs only)
2:URLhaus database dump (CSV) containing only online (active) malware URLs:Download CSV(online URLs only)
Cryptolaemus Pastedump
CryptolaemusというEmotetについて調査する有志のグループがまとめてくれているサイトです。通信先、検体のHASH値等を日々更新してくれています。https://paste.cryptolaemus.com/
Pastebin
Pastebin(ペーストビン)でも情報を発信してくれるページがあります。ねこさん情報ありがとうございます!!!Pastebinだとこの辺り。— ねこさん⚡��Ͷow or Ͷever��(ΦωΦ) (@catnap707) 2020年7月22日
Emf1123's Pastebin - https://t.co/wBNyYug1KT https://t.co/8bUEWr6c4o
Paladin316's Pastebin - https://t.co/wBNyYug1KT https://t.co/Mnuu9QpWL6
Jroosen's Pastebin - https://t.co/wBNyYug1KT https://t.co/sm4rr5GST9
Emotetの情報をTwitterで知りたい
Emotetについての情報を発信してくださるツイッターアカウントをまとめました。フォロー推奨です。Cryptolaemus@Cryptolaemus1
\_(ʘ_ʘ)_/@pollo290987
Brad@malware_traffic
abuse.ch@abuse_ch
ANY.RUN@anyrun_app
bom@bomccss
S-Owl@Sec_S_Owl
さとっぺ@satontonton
watoly@wato_dn
tike@tiketiketikeke
hiro_@papa_anniekey
sugimu@sugimu_sec
abel@abel1ma
moto_sato@58_158_177_102
Emotetの情報をブログ等で知りたい
Emotetについての情報が書いてあるブログ(組織、個人)や記事をまとめました。流行マルウェア「EMOTET」の内部構造を紐解く | MBSD Blog
Emotet(エモテット)徹底解説!感染すると何が起こる? | wizLanScope
Emotetについて(参考情報) | FireEye Inc
Emotetの再帰的ローダーを解析する - FFRIエンジニアブログ
▼個人ブログ
bomccss.hatenablog.jp
bomccss.hatenablog.jp
sugitamuchi.hatenablog.com
sugitamuchi.hatenablog.com
hash1da1.hatenablog.com
以上です。
これ以外もあるぞ!という方はぜひTwitter等で教えてくださると幸いです。
ではでは!
<更新履歴>
2020/07/22 PM 公開
2020/07/23 PM 修正(Pastebinの情報を追記)