【転載】Emotet関連情報収集メモ

Emoいメモ。 #Emotet:

どもどもにゃんたくです(「・ω・)「ガオー



ここ数日、ネットメディアニュースなどで『Emotetが活動再開!』という内容の記事を見かけることが増えましたね。

JPCERT/CCからも2020年7月20日に注意喚起が出ています。

www.jpcert.or.jp



www.itmedia.co.jp

news.mynavi.jp



Emotetに感染しないためにはどうすれば良いかですが、

基本的には以下3点を行う事が大事です。

・メールに添付されたファイルを開かない

・メール本文に記載されたURLにアクセスしファイルをダウンロードしない

・ファイルのマクロ有効化ボタンを押さない(マクロを有効化しない)



しかし、そもそも不審なメールを「怪しい」と気づけないパターンがほとんどです。

特にいつもやり取りしているメールの返信としてEmotetに感染させるメールが届くこともあるので余計にやっかいです。

ですので、メールの文面だけでやり取りが完了しないメールが来た時は警戒する、をまずは心がけるようにしましょう。


さて、ぼくのブログを読んでくださっている方々の大半はセキュリティ業務に就いている方だと思います。ですので、今回のメモはなにかしらの組織に所属しているセキュリティ業務の方々に活用してもらえたらいいなと思ってまとめてみました。

下記にまとめた内容がベストではない、と思ってください。あくまでも『にゃん☆たく』の情報の集め方の方法を書いただけですので誤解のないようよろしくお願いいたします。

Emotetについての注意喚起

まずはコレだけは絶対に見といて欲しい注意喚起をまとめました。



▼JPCERT/CC

マルウエア Emotet の感染に関する注意喚起

マルウエア Emotet の感染活動について



▼IPA

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構



▼Emotetに対しての対応FAQ(JPCERT/CC)

マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

※個人的にはこのFAQめっちゃ参考になると思っています



EmotetのIoC情報を知りたい

EmotetについてのIoC情報(通信先情報、検体情報など)をまとめました。
監視などを行う際に活用してみてください。



ANY.RUN

オンラインサンドボックスツールのANY.RUNがまとめてくれている情報です。

https://any.run/malware-trends/emotet

f:id:mkt_eva:20200722172631p:plain

Emotetがどういうマルウェアなのかを英語ですが分かり易く書いてくれています。ついでにIoC情報も見ることができます。



https://app.any.run/submissions

f:id:mkt_eva:20200722172651p:plain

ANY.RUNでスキャンされた実ファイルの解析結果を見る事ができます。右上の検索窓にに「Emotet」と入れて検索してみてください。ちなみに解析されたファイルはダウンロードすることもできます。(ので、気をつけてくださいね)



Emotetの話題からは逸れますが、このANY.RUNで気をつけてほしいこともあります。そちらの内容については下記ブログを参照してください。

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録



URLhaus

abuse.chが悪意のあるURLを共有することを目的として公開してくれているサイトです。

https://urlhaus.abuse.ch/browse/tag/emotet/

f:id:mkt_eva:20200722174155p:plain

URLhausに登録されるEmotetに感染させる悪意のあるURLの推移、URLを確認することができます。


https://urlhaus.abuse.ch/api/

f:id:mkt_eva:20200722174757p:plain

URLhausに登録された情報をAPIを使って活用することができます。特に監視ルール等で活用できるのが以下2つです。

・Database dump (CSV)
1:URLhaus database dump (CSV) containing recent additions (URLs) only (past 30 days):Download CSV(recent URLs only)

f:id:mkt_eva:20200722174835p:plain



2:URLhaus database dump (CSV) containing only online (active) malware URLs:Download CSV(online URLs only)

f:id:mkt_eva:20200722174846p:plain



Cryptolaemus Pastedump

CryptolaemusというEmotetについて調査する有志のグループがまとめてくれているサイトです。通信先、検体のHASH値等を日々更新してくれています。

https://paste.cryptolaemus.com/

f:id:mkt_eva:20200722175333p:plain



Pastebin

Pastebin(ペーストビン)でも情報を発信してくれるページがあります。



Pastebinだとこの辺り。

Emf1123's Pastebin - https://t.co/wBNyYug1KT https://t.co/8bUEWr6c4o

Paladin316's Pastebin - https://t.co/wBNyYug1KT https://t.co/Mnuu9QpWL6

Jroosen's Pastebin - https://t.co/wBNyYug1KT https://t.co/sm4rr5GST9
— ねこさん⚡��Ͷow or Ͷever��(ΦωΦ) (@catnap707) 2020年7月22日
 ねこさん情報ありがとうございます!!!



Emotetの情報をTwitterで知りたい

Emotetについての情報を発信してくださるツイッターアカウントをまとめました。フォロー推奨です。

Cryptolaemus@Cryptolaemus1

\_(ʘ_ʘ)_/@pollo290987

Brad@malware_traffic

abuse.ch@abuse_ch

ANY.RUN@anyrun_app

bom@bomccss

S-Owl@Sec_S_Owl

さとっぺ@satontonton

watoly@wato_dn

tike@tiketiketikeke

hiro_@papa_anniekey

sugimu@sugimu_sec

abel@abel1ma

moto_sato@58_158_177_102



Emotetの情報をブログ等で知りたい

Emotetについての情報が書いてあるブログ(組織、個人)や記事をまとめました。

流行マルウェア「EMOTET」の内部構造を紐解く | MBSD Blog

Emotet(エモテット)徹底解説!感染すると何が起こる? | wizLanScope

Emotetについて(参考情報) | FireEye Inc

Emotetの再帰的ローダーを解析する - FFRIエンジニアブログ



▼個人ブログ

bomccss.hatenablog.jp

bomccss.hatenablog.jp



sugitamuchi.hatenablog.com

sugitamuchi.hatenablog.com



hash1da1.hatenablog.com



以上です。



これ以外もあるぞ!という方はぜひTwitter等で教えてくださると幸いです。

ではでは!

<更新履歴>

2020/07/22 PM 公開

2020/07/23 PM 修正(Pastebinの情報を追記)