回避力が上がったEmotet

ほぼこもセキュリティニュース By Terilogy Worx

またEmotetです。
実装内容が更新されています。
今回の変更部分は、回避のための機構です。

EmotetはC2サーバと通信を行います。
その通信の宛先はマルウェアのなかに埋め込まれています。
このため、アンチウイルスなどのセキュリティソリューションはこの埋め込まれたIPアドレスを検査し、危険性を判断するような実装になっていたりします。
そのとき、通常の文字列マッチングで検査する製品が多いのかもしれません。

今回確認されているEmotetバリアントは、ここに注目しました。
マルウェアのなかに埋め込むURLを表記する際に、余計な文字を差し込んだり、IPアドレスの表記を変更してきました。
IPv4のIPアドレスは通常、10進数で表記されます。

  • 198.51.100.10
  • 0306.063.0144.012
  • 0xc633640a

これらの3つの数値は、いずれも同じものを示します。
1つ目は10進数、2つ目は8進数、3つ目は16進数です。
こういった文字列でマルウェアのなかに埋め込んでおき、感染先のExcelのマクロ機能で感染活動を実施する際にこれを10進数の形式に変換して使用します。
セキュリティソリューションにとっては非常に厳しい動きだといえそうです。

いろいろな新しい脅威が出てきますが、新しい脅威に効く万能の特効薬というものはまだありません。
日々システムを更新する、怪しいファイルやURLには注意する、といった基本的な活動方針を継続していくことが重要だということかもしれません。

参考記事(外部リンク):Emotet Now Using Unconventional IP Address Formats to Evade Detection
thehackernews.com/2022/01/emotet-now-using-unconventional-ip.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。