S0367 Emotet

Emotetは、TrickBotやIcedIDなどの他の異なるマルウェアのダウンローダーとして主に使用されるモジュール型マルウェアの一種です。 Emotetは2014年6月に最初に登場し、主に銀行セクターをターゲットに使用されています。[1] 訳注:モジュール型マルウェアの「亜種」、ではなく「一種」と訳しています。

ID: S0367
関連するソフトウェア: Geodo
Type: MALWARE
Platforms: Windows
Contributors: Omkar Gudhate
Version: 1.1

関連するソフトウェア

Name Description
Geodo [7]

使われるテクニック

Domain ID Name Use
Enterprise T1110 Brute Force
総当たり攻撃

Emotetは、ハードコードされたパスワードのリストで、ユーザーアカウントをブルートフォースすることが確認されています。 [2][3][4][5][6]

Enterprise T1059 Command-Line Interface
コマンドライン インターフェース

Emotet は、PowerShell scriptを動かすためにcmd.exeを使います。 [9]

Enterprise T1043 Commonly Used Port
一般に利用するポート

Emotet は 20, 22, 80, 443, 8080, 8443ポートを使用します。[11][8][7][12]

Enterprise T1003 Credential Dumping
資格情報の取得

Emotet は閲覧ソフトやMimikatzを含むパスワード搾取モジュールをドロップすることが確認されています。[7]

Enterprise T1081 Credentials in Files
ファイル内の資格情報

Emotet は、システムに保存されている現在ログオンしているユーザーのパスワードを取得するモジュールを利用することが確認されています。[4][6]

Enterprise T1094 Custom Command and Control Protocol
カスタマイズしたC&Cプロトコル

Emotet は、コマンドおよび制御メッセージング用に暗号化され、Protocol Buffersベースのプロトコルを使用することが確認されています。[15][17]

Enterprise T1022 Data Encrypted
暗号化

Emotetは、収集したデータを暗号化してからC2サーバーに送信することが確認されています。[16]

Enterprise T1114 Email Collection
電子メールの収集

Emotetは、Outlookから電子メールデータを取得するモジュールを利用していることが確認されています。[6]

Enterprise T1041 Exfiltration Over Command and Control Channel
C&C経由の抽出

Emotetは、C2サーバーに送信するHTTP GETリクエストのCookieにシステム情報を入れて、情報を盗み出していることが確認されています。 [7]

Enterprise T1210 Exploitation of Remote Services
リモートサービスの悪用

Emotetは、 ETERNALBLUE(MS17-010)のような脆弱性につけこんでSMBを悪用し、横方向の動きと拡散を達成することが確認されています。[4][5][13]

Enterprise T1040 Network Sniffing
ネットワークスニッフィング

Emotet は、ネットワークAPIをフックしてネットワークトラフィックを監視することが確認されています。[1]

Enterprise T1050 New Service

Emotetは、永続性を維持するために新しいサービスを作ることが確認されています。[4][5]

Enterprise T1027 Obfuscated Files or Information
難読化されたファイルまたは情報

Emotet は、マルウェアをホスティングするURL、CMD.exeの引数、およびPowerShellスクリプトを隠すために、悪意のあるドキュメント内のマクロを難読化しています。[8][7][9][10]

Enterprise T1086 PowerShell

Emotet は、悪意のあるペイロードの取り出しや、Mimikatzなどの追加リソースのダウンロードにPowershellを使用しています。[3][7][9][13][12]

Enterprise T1057 Process Discovery
プロセスを見つける

Emotetは、ローカルプロセスを列挙することが確認されています。 [18]

Enterprise T1055 Process Injection
プロセスインジェクション

Emotet は、Explorer.exeおよびその他のプロセスに挿入されることが確認されています。[9][1][4]

Enterprise T1060 Registry Run Keys / Startup Folder
Run Keys / Startup Folderへの登録

Emotet は、ダウンロードしたペイロードをHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runキーに追加して永続性を維持していることが確認されています。[3][4][9]

Enterprise T1053 Scheduled Task
スケジュールされたタスク

Emotet は、スケジュールされたタスクを通じて永続性を維持します。[4]

Enterprise T1064 Scripting

Emotet は、追加のペイロードをダウンロードするスクリプトを呼び出すマクロが埋め込まれたMicrosoft Word文書を送信しています。[3][8][7][9][12]
(訳注:Emotetを、メール送信も含んだ、活動全体として記載されているのだと解釈しています。)

Enterprise T1045 Software Packing

Emotet は、自身のペイロードを隠すため独自のパッカーを使っています。[7]

Enterprise T1193 Spearphishing Attachment
添付ファイル型スピアフィッシング

Emotetは、添付ファイルがついたフィッシングメールによって配信されます。[11][2][3][4][8][7][9][12]

Enterprise T1192 Spearphishing Link
リンク型スピアフィッシング

Emotet は、リンクがあるフィッシングメールによって配信されます。[1][14][11][2][3][4][8][8][9]

Enterprise T1032 Standard Cryptographic Protocol
標準的な暗号プロトコル

Emotet は、C2トラフィックの暗号化にRSAキーを使用することが知られています。[7]

Enterprise T1065 Uncommonly Used Port
標準でないポートの利用

Emotetは、7080および50000などの非標準ポートを使って通信することが確認されています。[14][9][15][8]

Enterprise T1204 User Execution
ユーザーによる実行

Emotetは、ユーザーがスピアフィッシングを通じて配信された悪意のあるリンクまたは添付ファイルをクリックすることをあてにしています。[1][12]

Enterprise T1078 Valid Accounts
正当なアカウント

Emotet は、ローカルの管理者パスワードを総当たり攻撃し、ラテラルムーブメント(侵入拡大)に利用します。 [2]

Enterprise T1077 Windows Admin Shares
Windowsの管理共有

Emotetは、ローカル管理者パスワードを総当たり攻撃し、Admin $共有を悪用してラテラルムーブメント(侵入拡大)を行います。. [2]

Enterprise T1047 Windows Management Instrumentation
WMI

Emotet は、powershell.exeを実行するためにWMIわを利用します。[12]

References

  1. Salvio, J.. (2014, June 27). New Banking Malware Uses Network Sniffing for Data Theft. Retrieved March 25, 2019.
  2. Smith, A.. (2017, December 22). Protect your network from Emotet Trojan with Malwarebytes Endpoint Security. Retrieved January 17, 2019.
  3. Symantec. (2018, July 18). The Evolution of Emotet: From Banking Trojan to Threat Distributor. Retrieved March 25, 2019.
  4. US-CERT. (2018, July 20). Alert (TA18-201A) Emotet Malware. Retrieved March 25, 2019.
  5. Mclellan, M.. (2018, November 19). Lazy Passwords Become Rocket Fuel for Emotet SMB Spreader. Retrieved March 25, 2019.
  6. CIS. (2018, December 12). MS-ISAC Security Primer- Emotet. Retrieved March 25, 2019.
  7. Trend Micro. (2019, January 16). Exploring Emotet's Activities . Retrieved March 25, 2019.
  8. Brumaghin, E.. (2019, January 15). Emotet re-emerges after the holidays. Retrieved March 25, 2019.
  9. Özarslan, S. (2018, December 21). The Christmas Card you never wanted - A new wave of Emotet is back to wreak havoc. Retrieved March 25, 2019.
  1. Perez, D.. (2018, December 28). Analysis of the latest Emotet propagation campaign. Retrieved April 16, 2019.
  2. CIS. (2017, April 28). Emotet Changes TTPs and Arrives in United States. Retrieved January 17, 2019.
  3. Lee, S.. (2019, April 24). Emotet Using WMI to Launch PowerShell Encoded Code. Retrieved May 24, 2019.
  4. Donohue, B.. (2019, February 13). https://redcanary.com/blog/stopping-emotet-before-it-moves-laterally/. Retrieved March 25, 2019.
  5. Shulmin, A. . (2015, April 9). The Banking Trojan Emotet: Detailed Analysis. Retrieved March 25, 2019.
  6. Brandt, A.. (2019, May 5). Emotet 101, stage 4: command and control. Retrieved April 16, 2019.
  7. Xiaopeng Zhang. (2017, May 3). Deep Analysis of New Emotet Variant – Part 1. Retrieved April 1, 2019.
  8. Manea, D.. (2019, May 25). Emotet v4 Analysis. Retrieved April 16, 2019.
  9. ASEC. (2017). ASEC REPORT VOL.88. Retrieved April 16, 2019.

連絡先:@amj_trans

 

MITRE ATT&CK 日本語化プロジェクト