AppGuard によるマルウェア「Emotet」への対応について

● 「Emotet」の概要
2014年にバンキングマルウェアとして確認されたマルウェア「Emotet」がボットネットとして進化し、2018年以降、世界中で猛威を振るっています。
感染したコンピューター内で所有者に気付かれることなく、様々な悪質なタスクを実行しています。
日本でも感染被害が増加しており、
JPCERT/CCからも注意喚起が行われています。

———-
参考:マルウエア Emotet の感染に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2019/at190044.html
———-

【感染により発生する被害】
・取引先や顧客の連絡先とメールの内容が窃取され外部に送信される
・(取引先以外の)外部の組織に大量の不審メールを送信してしまう
・他のマルウエアがダウンロードされ感染する恐れ

 

感染被害の報告によると、実在の組織や人物になりすましたメールに添付された
細工されたWordファイルによってEmotetに感染するケースが多いとのことです。

Word文書ファイルに埋め込まれたマクロのコードが実行されると、
EXEファイルがダウンロード・実行されEmotet に感染します。

Emotet に感染してしまうと、感染端末から情報が窃取された後、
また、感染したままの端末が組織内に残留すると、
感染を広げるメールの配信元として攻撃者に利用され、
外部に大量の不審メールを送信することになります。

攻撃メールは実際にある組織間のメールのやりとりの内容を転用し
取引先を装った「なりすましメール」である可能性があり注意が必要です。

 

● マルウェア「Emotet」の特徴
ポリモーフィック型
自身が頻繁に更新されるため、シグネチャによる検出が難しい。
ファイルレス
本体に悪意のあるコードをできるだけ持たず、シグネチャによる検出が難しい。
解析環境の検知
解析環境であることを確認すると活動しないため、
サンドボックスによる検出や、マルウェアの解析が難しい(シグネチャの作成が難しい)。

 

● AppGuard による「Emotet」への対応
AppGuard は以下の機能により「Emotet」からコンピューターを保護します。

◆実行制御
「Emotet」本体の実行をブロック

◆Isolation+自動継承
「Emotet」の感染活動において発生するレジストリの変更、
および他プロセスへのメモリアクセスをブロック
様々な亜種など「Emotet」が進化したとしても、
AppGuard はその侵害行為からコンピューターを保護し続けます。
また、保護を維持するため AppGuard のアップデートは一切必要ありません。

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■

注意喚起!なりすましメール拡散ウイルス国内本格上陸Emotetについて
「5分でわかる最新攻撃事例とAppGuard」資料ダウンロードはこちらから

https://secure-link.jp/wf/?c=wf33606366

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■

———-
参考:【Tech Note】進化するマルウェア「Emotet」がもたらす被害とその対策(メーカーサイト)
https://www.blueplanet-works.com/contents/technology/detail.html#/posts/553
———-