マルウェア
16進表記 / 8進表記のIPアドレスを用いて検出回避を試みるEmotetの攻撃手口を解説
トレンドマイクロは、16進表記 / 8進表記のIPアドレスを用いてパターンマッチングの検出回避を試みるEmotetスパムキャンペーンを観測しました。どちらのキャンペーンもソーシャルエンジニアリングの手法を用いており、メール受信者を騙して添付ファイルのマクロ機能を有効化させることでマルウェアを自動で実行させます。
トレンドマイクロは、16進表記 / 8進表記のIPアドレスを用いてパターンマッチングの検出回避を試みるEmotetスパムキャンペーンを観測しました。どちらのキャンペーンもソーシャルエンジニアリングの手法を用いており、メール受信者を騙して添付ファイルのマクロ機能を有効化させることでマルウェアを自動で実行させます。一連の処理を受け取ったオペレーティングシステム(OS)は、自動的にそれらの値をドット付き10進表記に変換し、外部サーバからの要求を実行します。個人ユーザおよび法人組織は、Emotetからダウンロードされる「TrickBot」や「Cobalt Strike」などの第二段階で配信されるマルウェアを侵入させないためにも、スパムメール / 不正コンテンツの検出機能やブロック機能、および関連する対策機能を有効化してキャンペーンに警戒する必要があります。
■ 16進表記のIPアドレスを用いた攻撃活動の手口
トレンドマイクロが発見した検体は、メール受信者が添付ファイルを開く際に「Excel 4.0マクロ」を有効化することで不正活動を開始します。「Excel 4.0マクロ」は、Excel内で反復タスクを自動化するために古くから用いられている機能ですが、攻撃者はマルウェアを配信するために悪用しました。今回の事例における悪用手口は、auto_openマクロを使ってExcelファイルを開くことでマルウェアを実行させるというものです。
図1:Emotetスパムに添付されたExcelファイルを開く際に、マクロを有効化するよう受信者に促している様子
図2に示すURLはキャレット(^)を用いて難読化されていると同時に、ホストは16進表記のIPアドレスを含んでいます。トレンドマイクロは、正規データ加工ツール「CyberChef」を使って、この16進数をより一般的に用いられるドット付き10進表記に変換することで「193[.]42[.]36[.]245」を表していることを確認しました(図3)。
図2:URLの難読化にキャレット(^)が用いられている様子
図3:コマンド内の16進数をドット付き10進表記に変換した様子
マクロは実行されると、16進表記のIPアドレスを含むURLを引数として使ってcmd.exe > mshta.exeを呼び出し、リモートホストからHTMLアプリケーション(HTA)コードをダウンロードして実行します(図4)。
図4:HTAコードをダウンロードして実行している様子
■ 8進表記のIPアドレスを用いた攻撃活動の手口
上記の検体と同様に、Emotetスパムの添付ファイルには不正マクロ(Excel 4.0)が仕込まれており、受信者が添付ファイルを開く際にマクロを有効化することでマルウェアが実行されます。図5に示すURLもキャレットを用いて難読化されていますが、ホストは8進表記のIPアドレスを含んでいます(図5)。トレンドマイクロは再び「CyberChef」を使って、このIPアドレスをドット付き10進表記「46[.]105[.]81[.]76」にデコードしました(図6)。
図5:16進表記の検体と似た手口だが、難読化に8進表記を用いている
図6:コマンド内の8進数をドット付き10進表記に変換した様子
図7に示すプロセスの親子関係に見られるように、マクロは実行されると、8進表記のIPアドレスを含むURLを引数として使ってcmd.exe > mshta.exeを呼び出し、リモートホストからHTAコードをダウンロードして実行します。
図7:HTAファイルをダウンロードして実行している様子
■ まとめ
2021年11月から12月の間にEmotetが攻撃活動のため、商用のペネストレーションツール「Cobalt Strike Beacon」を分け隔てなく感染端末に作成していた痕跡が観測されました。ところが2022年初旬、攻撃者はCobalt Strike Beaconを送り込む対象を明らかに選択するようになりました。本記事で解説した回避手法は、攻撃者がパターンファイルベースの検出を妨げるために技術革新を続けている証拠と考えることができます。
また、16進表記 / 8進表記のIPアドレスを用いた新たな手法は、従来のパターンマッチングによる検知を回避する可能性があります。一方で、セキュリティチームは、フィルタを使用してそのようなIPアドレスを不審なものとして処理し、マルウェアとして関連付けることで、コマンドラインにおける異常な挙動を検出の機会ととらえることもできます。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Emotet Spam Abuses Unconventional IP Address Formats to Spread Malware」
by Ian Kenefick
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)
