この冬から猛威を振るい、セキュリティ業界の話題をさらったEMOTET。2020年1月にも「新型コロナウィルス」に関する情報を装った攻撃メールが確認されており、IPAからも改めて注意喚起がなされています。
いままでご紹介してきた、IOCの分析に使える様々な無償のツールを使って、セキュリティリサーチャーはどのように調査を進めるのか、EMOTETの調査を例に見ていきましょう。
オリジナルの記事はThreatSTOP社Ofir Ashman 氏が書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/emotet-banking-trojan-use-case
Part 4「点と点を結ぶ」はこちらから
銀行を狙うトロイの木馬として元々設計されたEMOTET。巨大なボットネットの構築に悪用される脅威のコードとなり、今現在では最も危険かつ活動的なマルウェアとなっています。
アメリカ国土安全保障省が昨年出したアラートによると、EMOTETは地方自治体にとって最も金銭的なコストのかかる、そして破壊的なマルウェアであると表現しました。EMOTETは、2019年上半期に動きが最も活発になりましたが、下半期に入って2か月、鳴りを潜め(噂では、この休息期間はメンテナンスとアップグレードの時間だったとも)、そして秋ごろから再び、新しい活動がCofenseのリサーチャーによって報告されました。(※1)
※1 Emotet Botnet Shows Signs of Revival
https://www.bankinfosecurity.com/emotet-botnet-shows-signs-revival-a-12964
爆発的にEMOTETの利用が拡大していることを考えると不思議なことではないですが、ThreatSTOP社のセキュリティ リサーチ チームも、尽きないEMOTETのIOC調査を行っています。ThreatSTOP製品の管理画面上で選択できる、EMOTETのIOCフィードに掲載されているものだけでなく、セキュリティチームは、様々な共有プラットフォームに投稿された内容を調査し、その信頼性の確認と、さらなるIOCの調査を進めています、その結果、EMOTETのIOCの多くが、過去の脅威アクティビティとの関連性が見つかっています。
5月には、マルウェア分析プラットフォームのAny Run上にEMOTETのサンプルが分析とともに投稿されました。この分析は、EMOTETの調査を専門にしているチームによりTwitter上に投稿され、AlienValut OTXを通じて、ThreatSTOPのリサーチチームの目に入ってきました。そこでチームはサンプルの分析の中にあったIOCの分析を初め、更なるIOCの発見をすることができました。
この例では、ThreatSTOPのリサーチチームが、EMOTETレポートにあるIPアドレス108[.]179[.]217[.]238.について、無償のオープンソースの分析ツールを利用してどのように分析するかを示してみます。
まず初めに、チームはVirusTotalを使ってそのIPアドレスについて調べてみると、そのIPアドレスが他の大量の悪意ある活動と関連があることがわかりました。大量の悪意あるファイルのダウンロードやファイルとの通信を行っていたのです。VirusTotal上のそれぞれのファイルアイコンをクリックすると、マルウェアタイプを見ることができます。下のスクリーンショット画像の場合、EMOTETからValyriaダウンローダーにまで及んでいます。
VirusTotalの関連性グラフでもう一つ便利な機能が、関連するURLの表示です。
このグラフでは、業界をリードするセキュリティ企業によって悪意あると判断されているURLを複数見ることができます。左側のメニューにある「Show Node List」をクリックすると、悪意あるURLのリストを見ることが出来とても便利です、このIPアドレスには、2つのドメイン「homedepot-managepayment[.]com」と「orders-dressbarn[.]com」が紐づいており、これは元々のレポートには記載がなかったものです。しかも、後者のドメインは、Twitterポストがリリースされる前の数日間、活動していたことが示されています。
VirusTotalでは視覚的に分かりやすく関係性が表示されるので、ThreatSTOPのリサーチチームは、更なる未知の悪意あるドメインを数秒で発見することができました。このようなシンプルなリサーチがより多くのIOCを生み出すことに貢献したり、その結果より深い関連性分析につながる、というのは珍しいことではありません。
この事例で使ったツールやプラットフォームについて、もっと知りたい場合は以下のブログ記事で紹介しているので、ぜひご覧ください。
https://products.nvc.co.jp/blog/part-1-why-should-ioc-be-used
https://products.nvc.co.jp/blog/where-to-find-ioc-part-2
https://products.nvc.co.jp/blog/where-to-find-ioc-part-3
このような調査の事例をもっと見たい場合は、以下のブログ記事の中でも紹介しています。
佐川急便を騙るフィッシングメールの裏側に迫る!ThreatSTOPがRoaming Mantisキャンペーンに関する調査で120以上の脅威ドメインを発見
これまで、ThreatSTOPのリサーチチームが愛用しているツールと利用事例をご紹介してきましたが、もし、これらの調査を自社で行うことが難しい、もしくは情報を精査することが難しい場合は、セキュリティの専門家が最新の脅威状況に合わせて分析、抽出した脅威インテリジェンスフィードを採用すべきです。
脅威インテリジェンスの専門ベンダー ThreatSTOP社では、セキュリティリサーチャーがIOCの収集、分析を行い精査した結果を脅威インテリジェンスフィードとして提供しています。フィード情報は様々なベンダーのファイアウォールやDNSサーバで利用でき、ネットワーク・セキュリティ設備の大幅な見直しをする必要はありません。ご利用の設備を活用したままで、自動的に最新の脅威情報レベルに防御力を高めることができます。
是非、こちらもご検討ください。
この記事に関するサービスのご紹介
セキュリティリサーチツール Check IOC
CSIRTやSOCメンバーが脅威IPアドレス及びドメインの情報を調べるリサーチツールとして情報提供します。STIX/TAXII形式での提供が可能です。
詳細はこちら