2022年1月25日 / 最終更新日 : 2022年1月25日 Kazuo_Komoriya ほぼこもセキュリティニュース

回避力が上がったEmotet

ほぼこもセキュリティニュース By Terilogy Worx

またEmotetです。
実装内容が更新されています。
今回の変更部分は、回避のための機構です。

EmotetはC2サーバと通信を行います。
その通信の宛先はマルウェアのなかに埋め込まれています。
このため、アンチウイルスなどのセキュリティソリューションはこの埋め込まれたIPアドレスを検査し、危険性を判断するような実装になっていたりします。
そのとき、通常の文字列マッチングで検査する製品が多いのかもしれません。

今回確認されているEmotetバリアントは、ここに注目しました。
マルウェアのなかに埋め込むURLを表記する際に、余計な文字を差し込んだり、IPアドレスの表記を変更してきました。
IPv4のIPアドレスは通常、10進数で表記されます。

  • 198.51.100.10
  • 0306.063.0144.012
  • 0xc633640a

これらの3つの数値は、いずれも同じものを示します。
1つ目は10進数、2つ目は8進数、3つ目は16進数です。
こういった文字列でマルウェアのなかに埋め込んでおき、感染先のExcelのマクロ機能で感染活動を実施する際にこれを10進数の形式に変換して使用します。
セキュリティソリューションにとっては非常に厳しい動きだといえそうです。

いろいろな新しい脅威が出てきますが、新しい脅威に効く万能の特効薬というものはまだありません。
日々システムを更新する、怪しいファイルやURLには注意する、といった基本的な活動方針を継続していくことが重要だということかもしれません。

参考記事(外部リンク):Emotet Now Using Unconventional IP Address Formats to Evade Detection
thehackernews.com/2022/01/emotet-now-using-unconventional-ip.html

カテゴリー
ほぼこもセキュリティニュース
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

前の記事

WhisperGate
2022年1月24日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

水飲み場攻撃に使用されるDazzleSpy
2022年1月26日