「Emotet」が新しい検出回避手法を追加

2014年に初めて確認されたバンキングトロジャン「Emotet」は、今日まで数年間にわたって流行を続け金銭的な被害をもたらしています。米国政府は、州および地方政府がEmotetの被害に対処するために要した費用は事例あたり最大約100万米ドル（2019年5月14日時点で約1億1千万円）にのぼると発表しています。残念なことに、Emotetは広く拡散し柔軟に変化するマルウェアです。Emotetの開発者はこれまでも新しい機能や拡散手法を継続して追加してきました。

トレンドマイクロは、2019年4月、感染後のトラフィックが以前のバージョンとは異なるEmotetの検体を確認しました。本記事では新しい検出回避の手法と考えられるこの感染後のトラフィックについて解説します。

■スパムメールによる拡散

Emotetは通常スパムメールを介して対象PCに到着します。2019年4月上旬に確認されたEmotetの検体も依然としてスパムメールによって拡散していましたが、これまでとは異なりPowerShellを利用するマクロ型のダウンローダ「Powload」の利用も確認されました。問題のスパムメールは、インボイスを添付したというメッセージによってユーザを騙し、不正なファイルをダウンロードさせます。添付されているファイルはZIP形式で、本文に記載された4桁のパスワードによって開くことが可能です。ファイルにはPowloadの亜種（「Trojan.W97M.POWLOAD」として検出）が含まれており、ユーザがパスワードを入力すると、PowloadがEmotetの実行ファイルをダウンロードします。

図1：Emotetを拡散するスパムメールの検体
さまざまな言語を使用する複数の検体が確認されている

■感染後のトラフィックの変化

新しい感染後のトラフィックを使用するEmotetは2019年3月15日から確認されています。不正なトラフィックに関する情報共有サイト「Malware-Traffic-Analysis.net」およびセキュリティ企業「Cofense」のリサーチャも同じ時期、Emotetのネットワークトラフィックが変化したことを報告しています。上述したように、Emotetはその登場以来多くの変化を繰り返してきました。しかし、感染後のコマンド&コントロール（C&C）サーバとの通信トラフィックを細工する手法は今回初めて確認されたものです。

以前のEmotetからの接続にはURIパスは使用されていませんでした。しかし、新しい検体はURIパスとしてランダムな単語（図2参照）と数字を使用します。

図2：新しく確認されたEmotetによる感染後のHTTPリクエスト

URIパスに使用されたランダムな単語はネットワークベースの検出回避に役立ちます。空のURIパスは不正なトラフィックであることを示す危険信号であるため、この手法によってセキュリティ対策製品に対してより正規のトラフィックに見せかけることが可能です。

図3は新しいEmotetの検体で確認されたURIパス中のランダムな単語の一覧です。これらの単語はEmotetの実行ファイル内でも確認することが可能です。

図3：URIに使用された単語を含む複合したメモリダンプ

URIパスの他に、問題のHTTP POSTリクエストのメッセージボディにも変更が加えられています。以前のEmotetの検体は、通常、ユーザの情報をC&Cサーバに送信する際にHTTP GETリクエストを使用していました。図4の左図のように、データは、RSA鍵を使用したAES方式で暗号化し、Base64方式でエンコードしてCookieヘッダに含めていました。

これとは異なり、新しいトラフィックではCookieヘッダが使用されなくなり、リクエストメソッドはPOSTに変更されています。データは以前と同様に、RSA鍵を使用したAES方式で暗号化されBase64方式でエンコードされます。しかし、Cookieの値として設定される代わりに、HTTP POSTのメッセージボディに含められます。このような変更によって加えられた複雑性は、検出の回避やさらなる調査の遅延に役立つと考えられます。

図4：C&C通信トラフィックの比較

■トレンドマイクロの対策

今回確認された感染後のトラフィックの変化は、Emotetが変化を続ける柔軟なマルウェアであることを示しています。このマルウェアの開発者は、セキュリティ対策製品に適応するために検出回避の手口を微調整しています。もしEmotetを検出できなかった場合、このマルウェアは企業に大きな金銭的損害と情報窃取の被害をもたらす恐れがあります。

EMOTET のような脅威に対抗するためには、ゲートウェイ、エンドポイント、ネットワークおよびサーバにいたる多層的で積極的なセキュリティ対策が必要です。法人向けエンドポイント製品「ウイルスバスター™ コーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、不正なファイルを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。また、「Deep Discovery™ Email Inspector」は、従来のメールセキュリティ製品では防御困難な標的型メール攻撃対策製品です。パターンファイルによる検出が難しい不正添付ファイルも、クリックしないと不正の有無が分からない URL リンクも、カスタムサンドボックスによって検証・ブロックします。

ネットワーク型対策製品「Deep Discovery™ Inspector」は、以下の DDIルールによってこの脅威を検知します。

• DDI Rule 2897: EMOTET – HTTP (Request) – Variant 4

クロスジェネレーションで進化を続ける「XGen™セキュリティ」は、AI 技術をはじめとする先進技術と実績の高いスレットインテリジェンスを融合した防御アプローチにより、データを保管するサーバ、データを交換するネットワーク、データを利用するユーザの各レイヤーで最適化されたセキュリティを提供します。Web／URLフィルタリング、挙動解析、カスタムサンドボックスのような機能を備えたクロスジェネレーション（XGen）セキュリティアプローチは、既知または未知／未公開の脆弱性を狙い、個人情報の窃取や暗号化、不正な仮想通貨発掘活動を行う脅威をブロックします。XGen は「Hybrid Cloud Security」、「User Protection」、そして「Network Defense」へのソリューションを提供するトレンドマイクロ製品に組み込まれています。

【更新情報】

参考記事：

• 「Emotet Adds New Evasion Technique」
  by Marco Dela Vega, Jeanne Jocson, and Mark Manahan

翻訳： 澤山　高士（Core Technology Marketing, TrendLabs）