深層的な防御:E メールおよびネットワークレイヤーで観 測された、Emotet の復活

Max Heinemeyer, Director of Threat Hunting | Dan Fein, Director of Email Security Products | 2020年8月26日水曜日

Emotet バンキングマルウェアは 2014 年に最初に出現して以来、複数回の攻撃を繰り返してきまし た。Emotet はデバイスからデバイスへと急激に拡散し、財務関連の秘密情報を盗み出すことによ り様々な組織から金銭的利益を得ようとするマルウェアです。

Darktrace の AI はこのボットネットの 5 か月ぶりの復活を検知しました。この新たなスパムウェア キャンペーンは高度に洗練されたフィッシングメールにより複数の産業分野を襲いました。これら のメールにはマクロを含む Microsoft Word ドキュメントをダウンロードするリンクが含まれるか、 またはドキュメント自体が添付されていました。今回の攻撃は、脅威インテリジェントリストには まだ知られていない、インフラおよびマルウェアの新たな変種を使用していたため、静的なルール ベースの防御システムを容易にすり抜けています。

本稿ではこの攻撃を 2 つの角度から解説します。まず、Emotet が企業のネットワークに侵入する ことに成功した後、Enterprise Immune System によって即座に検知され、アラートが出された ケースを紹介します。 次に、Darktrace の Cyber AI カバレッジを E メールに拡張した 2 社のユー ザー事例を見ていきます。これらの企業も最新の Emotet 攻撃の標的となりましたが、Emotet ペイ ロードを含む悪意ある E メールは Antigena Email により特定されブロックされました。

ケース スタディ 1:ネットワーク内での Emotet の検知

図 1:攻撃のタイムライン

最初のケーススタディは、ヘルスケア、医薬品、製造を含む複数の業種を持つヨーロッパの大手企 業での事例です。この企業が Emotet の新しい波に襲われたとき、Darktrace の AI は 3,500 台以 上のデバイスを監視していました。

この攻撃はフィッシング E メールから企業に侵入しましたが、E メールはこの企業での Darktrace の運用範囲からは外れていました。このユーザーは Antigena Email をまだ設定していなかったか らです。E メールに含まれていた悪意あるリンク、またはマクロが埋め込まれた Word ドキュメン トのいずれかが、悪意あるペイロードをデバイスに実行させるよう導いたのです。

Darktrace の Enterprise Immune System は 100%未知の外部 IP アドレスに対する SSL 接続を観 測し、その直後にそのデバイス上でカーネルクラッシュを検知しました。これはエクスプロイトの 可能性を示すものでした。

これらのアクションに続き、デスクトップが自己署名または無効な SSL 証明書を使って複数の外部 エンドポイントにビーコニングを開始しました。観測されたエンドポイントは、以前 Trickbot C2 サーバーおよび Emotet マルウェアに関連していたものでした。合計の滞留時間、つまり攻撃者が 排除される前に環境内で自由に行動できた時間の⻑さは、この事例ではおよそ 24 時間であり、アク ティビティのほとんどは 7 月 23 日に起こっていました。

デバイスはその後、新しく、また通常とは異なる内部接続を、SMB(445 番ポート)を使って 1 時 間の間に 97 個の内部デバイスに対して試行しました。目的は水平方向の移動とみられ、おそらくそ の意図は他のデバイスを感染させ、さらにマルウェアをダウンロードさせ、さらに多くのスパム E メールを送出させることでした。

Darktrace の AI は最初の未知の接続についてセキュリティチームにすばやく警告しましたが、デバ イスが水平方向の移動をしようとするとアラートの深刻度をさらに引き上げました。セキュリティチームはデスクトップをオフラインにし、それ以上の被害が出る前に状況に対処することができま した。

感染したデバイスの概要情報には、異常な挙動の範囲が示されており、Darktrace による異常検知 が短時間に十数個連続して発生していることが確認できます。

図 2:7 月 23 日に普段は見られないアクティビティと多数のモデル違反が発生していることを示す グラフ

図 3:感染したデバイス上で短時間に発生したすべてのモデル違反のリスト

ケース スタディ 2:E メール環境内での Emotet の捕捉

Darktrace の Enterprise Immune System ではネットワーク内の攻撃を可視化することができま すが、Antigena Email も他の多くの顧客環境において Emotet によるフィッシング攻撃を特定し、 ペイロードがダウンロードされる前に攻撃を阻止しています。

あるヨーロッパの企業が Emotet に関連した複数のフィッシングメール攻撃を受けました。これら の E メールには、パーソナライズされた件名、悪意ある添付ファイル、隠された悪意ある URL な ど、さまざまな戦術が使われていました。しかし、Darktrace の AI はこれらの E メールがこの組織 にとって異常度が高いと認識し、従業員の受信箱に到達することを阻止しました。

100%
Wed Jul 29 2020, 10:52:13
From:CaixaBank Informa <[email protected]>
Recipient:<[email protected]>
Avís de transferència
Email Tags
Suspicious Link
New Contact
Actions on Email
Lock Link
Move to Junk
Hold Message
Double Lock Link

図 4:Antigena Email の対話型ユーザーインターフェイス画面。件名には、"Notice of transfer (送金のお知らせ)" と表示されている。

この E メールはスペインの金融サービス企業、CaixaBank からのものであると表示されていました が、Antigena Email はこのメールが実はブラジルのドメインから送られてきたことを明らかにしま した。このメールにはさらに、CaixaBank のドメインに飛ぶとみせかけたテキストの背後にリンク を隠していましたが、Darktrace はこれが受信者を故意にミスリードさせるものであることを認識 しました。Antigena Email はビジネス全体から情報を収集する独自の能力を備えており、実はこの リンクが、Darktrace の AI によりこの企業にとって 100%の未知度であると識別された WordPress ドメインにつながっていることを明らかにしました。このことは、組織のさまざまな場所からの データを分析し比較する一元化されたセキュリティプラットフォームなくしては不可能だったで しょう。

図 5:E メールに含まれていた悪意あるリンク

上の図に示す Darktrace により特定された 3 つのリンクは、すべて Emotet マルウェアに関連する ものであり、ユーザーに Word ファイルをダウンロードさせようとしていました。このドキュメン トに含まれていたマクロが、実際のウイルスペイロードをダウンロードする命令だったのです。

同じ企業を標的とした別の E メールには、ベトナムからのものであることを示すヘッダが含まれて いました。送信者は過去にこの企業の誰ともやり取りをしたことがなく、この E メールに含まれて いた 1 つの孤立したリンクは、これも 100%未知のドメインであることが判明しました。このドメ インを開いて表示される Web サイトは普通の印刷会社を装っていましたが、急ごしらえのように見 え、同様の悪意あるペイロードを含んでいました。

どちらのケースにおいても、Darktrace はこの企業の通常の通信パターンおよび振る舞いの理解に 基づいてこれらがフィッシングの試みであると識別し、メールが受信箱に入らないよう保留して、 Emotet が攻撃ライフサイクルの次の段階に進むことを防いだのです。

ケース スタディ 3:真のグローバルキャンペーン

Darktrace は Emotet を世界中の顧客を標的とした攻撃において観測していますが、最近見られた キャンペーンの 1 つは日本の食品製造販売企業を狙ったものでした。この顧客は 7 月 29 日と 7 月 30 日に 6 通の Emotet を含むメールを受信しました。送信者は日本人の名前で、三菱を含むいくつ かの実在する日本企業を装っていました。Antigena Email はこれらの E メールを検知し対処するこ とに成功しました。スプーフィングの兆候を識別し、なりすましであることを明らかにし、添付 ファイルを変換して無害化しました。

57%
Thu Jul 30 2020, 19:31:57
From:藤沢 昭彦様 三菱食品(株) <[email protected]>
Recipient:<[email protected]>
請求書の件です。 0484111-2020_07_30
Email Tags
Suspicious Attachment
No Association
Spoofing Indicators
New Contact
Actions on Email
Convert Attachment
Unspoof

図 6:日本企業を標的とした Emotet E メールの 2 通目

フィッシングを暴く

件名もファイル名も「請求書の件です」となっており、その後に数字と日付が続くものでした。こ の E メールは有名な日本企業(三菱食品株式会社)を装い、ありそうな日本名として「藤沢 昭彦」 という名前に「様」を付けることで普通のビジネスメールに見せようとしていました。

続く調査では送信者の場所が実際にはポルトガルであり、Microsoft Word 添付ファイルのハッシュ 値は Emotet のものと一致していたことがわかりました。 ここで重要な点は、攻撃の時点において これらのファイルハッシュは公開情報ではいずれの悪意ある動作とも関連づけられておらず、これ を初期の検知に使うことはできなかったということです。

図 7:Antigena Email が E メールの送信元を明らかにする重要なメトリックを表示

E メールに隠された重要なメトリックをさらに洗い出し、Antigena Email は送信者が GMO ドメイ ン名を使用していることを明らかにしました。GMO は Web メールサービスを提供する日本のクラ ウドホスティング会社です。

図 8:Antigena Email が異常な拡張子と MIME を指摘

添付ファイルの詳細には、拡張子と MIME タイプのいずれも、この顧客が通常 E メールでやりとり するドキュメントと比較して異常であることが示されています。

図 9:Antigena Email が誘導の試みを検知

Antigena Email のモデルは、E メールが書かれた言語に関係なく、トピックの特異性と誘導の試み を認識することができます。日本語で書かれていたにも関わらず、Darktrace の AI は誘導の試みを 識別し、このメールに 85 という高いスコアをつけることができました。

図 10:連続した 6 通の Emotet メール

これらの E メールが短時間に集中して送られていたこと、およびこれらにすべて Emotet 関連の URL が含まれていたことから、これらは同じ攻撃の一部であることが推察されます。さまざまな受 信者が異なる送信者からメールを送られていましたが、これは悪であることを一旦認識すると個々 の送信者をブラックリストに入れるよう訓練されている従来のセキュリティツールを回避するため のやり方です。

深層的な防御

この新たなキャンペーンと Emotet マルウェアの復活は、深層的な防御、すなわち E メール、ネッ トワーク、クラウドおよび SaaS、その他を含めたビジネスのあらゆる場所で多層的なセキュリティ を持つことの必要性を示しています。

これまで、深層的な防御を目指して、企業は多数のポイントソリューションを採用してきましたが これはコストの増大に加えて管理の難しさが問題となります。そのため、セキュリティリーダー達 はポイントソリューションを捨てて統一されたセキュリティプラットフォームを選択する傾向にあ ります。セキュリティスタックの扱いがより簡単かつ効率的になるだけでなく、プラットフォーム のさまざまな部分の間で相乗効果が生まれるからです。異なるソースからのデータを分析し、組織 のあらゆる場所から情報を集めることにより、セキュリティに対する企業のサイロ型のアプローチ の隙を狙う洗練された攻撃の検知に役立てることができます。

統一されたプラットフォームは究極的にはセキュリティチームの負担を軽減すると同時に、効果的 な、企業全体に渡るインシデント調査を可能にします。そしてプラットフォームアプローチが「既 知の悪」を探すのではなく AI を活用して正常な動作を理解すれば、未知の新しい脅威を検知できる ようになり、被害の発生を防ぐことができます。

Max Heinemeyer

Max is a cyber security expert with over nine years’ experience in the field, specializing in network monitoring and offensive security. At Darktrace, Max works with strategic customers to help them investigate and respond to threats, as well as overseeing the cyber security analyst team in the Cambridge UK headquarters. Prior to his current role, Max led the Threat and Vulnerability Management department for Hewlett-Packard in Central Europe. In this role he worked as a white hat hacker, leading penetration tests and red team engagements. He was also part of the German Chaos Computer Club when he was still living in Germany. Max holds a MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.

Dan Fein

Based in New York, Dan is the Director of Email Security Products for the Americas. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.