Emotetは、TrickBotやIcedIDなどの他の異なるマルウェアのダウンローダーとして主に使用されるモジュール型マルウェアの一種です。 Emotetは2014年6月に最初に登場し、主に銀行セクターをターゲットに使用されています。[1] 訳注:モジュール型マルウェアの「亜種」、ではなく「一種」と訳しています。
Name | Description |
---|---|
Geodo | [7] |
Domain | ID | Name | Use |
---|---|---|---|
Enterprise | T1110 |
Brute Force 総当たり攻撃 |
Emotetは、ハードコードされたパスワードのリストで、ユーザーアカウントをブルートフォースすることが確認されています。 [2][3][4][5][6] |
Enterprise | T1059 |
Command-Line Interface コマンドライン インターフェース |
|
Enterprise | T1043 |
Commonly Used Port 一般に利用するポート |
Emotet は 20, 22, 80, 443, 8080, 8443ポートを使用します。[11][8][7][12] |
Enterprise | T1003 |
Credential Dumping 資格情報の取得 |
|
Enterprise | T1081 |
Credentials in Files ファイル内の資格情報 |
Emotet は、システムに保存されている現在ログオンしているユーザーのパスワードを取得するモジュールを利用することが確認されています。[4][6] |
Enterprise | T1094 |
Custom Command and Control Protocol カスタマイズしたC&Cプロトコル |
Emotet は、コマンドおよび制御メッセージング用に暗号化され、Protocol Buffersベースのプロトコルを使用することが確認されています。[15][17] |
Enterprise | T1022 |
Data Encrypted 暗号化 |
|
Enterprise | T1114 |
Email Collection 電子メールの収集 |
|
Enterprise | T1041 |
Exfiltration Over Command and Control Channel C&C経由の抽出 |
Emotetは、C2サーバーに送信するHTTP GETリクエストのCookieにシステム情報を入れて、情報を盗み出していることが確認されています。 [7] |
Enterprise | T1210 |
Exploitation of Remote Services リモートサービスの悪用 |
Emotetは、 ETERNALBLUE(MS17-010)のような脆弱性につけこんでSMBを悪用し、横方向の動きと拡散を達成することが確認されています。[4][5][13] |
Enterprise | T1040 |
Network Sniffing ネットワークスニッフィング |
|
Enterprise | T1050 | New Service | |
Enterprise | T1027 |
Obfuscated Files or Information 難読化されたファイルまたは情報 |
Emotet は、マルウェアをホスティングするURL、CMD.exeの引数、およびPowerShellスクリプトを隠すために、悪意のあるドキュメント内のマクロを難読化しています。[8][7][9][10] |
Enterprise | T1086 | PowerShell |
Emotet は、悪意のあるペイロードの取り出しや、Mimikatzなどの追加リソースのダウンロードにPowershellを使用しています。[3][7][9][13][12] |
Enterprise | T1057 |
Process Discovery プロセスを見つける |
|
Enterprise | T1055 |
Process Injection プロセスインジェクション |
|
Enterprise | T1060 |
Registry Run Keys / Startup Folder Run Keys / Startup Folderへの登録 |
Emotet は、ダウンロードしたペイロードを |
Enterprise | T1053 |
Scheduled Task スケジュールされたタスク |
|
Enterprise | T1064 | Scripting |
Emotet は、追加のペイロードをダウンロードするスクリプトを呼び出すマクロが埋め込まれたMicrosoft Word文書を送信しています。[3][8][7][9][12] |
Enterprise | T1045 | Software Packing | |
Enterprise | T1193 |
Spearphishing Attachment 添付ファイル型スピアフィッシング |
Emotetは、添付ファイルがついたフィッシングメールによって配信されます。[11][2][3][4][8][7][9][12] |
Enterprise | T1192 |
Spearphishing Link リンク型スピアフィッシング |
Emotet は、リンクがあるフィッシングメールによって配信されます。[1][14][11][2][3][4][8][8][9] |
Enterprise | T1032 |
Standard Cryptographic Protocol 標準的な暗号プロトコル |
|
Enterprise | T1065 |
Uncommonly Used Port 標準でないポートの利用 |
Emotetは、7080および50000などの非標準ポートを使って通信することが確認されています。[14][9][15][8] |
Enterprise | T1204 |
User Execution ユーザーによる実行 |
Emotetは、ユーザーがスピアフィッシングを通じて配信された悪意のあるリンクまたは添付ファイルをクリックすることをあてにしています。[1][12] |
Enterprise | T1078 |
Valid Accounts 正当なアカウント |
|
Enterprise | T1077 |
Windows Admin Shares Windowsの管理共有 |
Emotetは、ローカル管理者パスワードを総当たり攻撃し、Admin $共有を悪用してラテラルムーブメント(侵入拡大)を行います。. [2] |
Enterprise | T1047 |
Windows Management Instrumentation WMI |