- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-03-22T14:57:07+09:00","","")
#author("2020-07-13T13:04:59+09:00","default:hagiken","hagiken")
[[・攻撃ベクトルの研究]]
本稿は、cybereason社の脅威調査: https://www.cybereason.co.jp/blog/cyberattack/3613/ を参考にしました。
*ワークフローで使用されたコンポーネント [#pac72159]
#ref(https://updatecorp.co.jp/ipa/image/Emotet.jpg);
&br;
|名前|役割|h
|Outlook.Exe|電子メールクライアントソフト|
|Word.Exe|ワープロソフト|
|Visual Basic for Application|Microsoft Office用マクロ言語|
|cmd.Exe|Windows コマンドラインインターフェース|
|PowerShell.Exe|Windows スクリプト言語エンジン|
*手口 [#h5457524]
+Emotet は、Viasual Basic for Application (VBA/マクロ) が含まれた Word の文書を電子メールで相手方に送り付けます。
+Emotet は、Visual Basic for Application (VBA/マクロ) が含まれた Word の文書を電子メールで相手方に送り付けます。
+受信者が Word の内容を確認するため保護されたビュー(初期設定)を解除し、文書を閲覧します。
+この際に、難読化されたVBA が起動し、コマンドラインインターフェースを起動し、コマンドラインインターフェースは、続けて PowerSehell.Exe を起動します。
+この際に、難読化されたVBA が起動し、コマンドラインインターフェースを起動し、コマンドラインインターフェースは、続けて PowerShell.Exe を起動します。
+PowerShell は難読化されたスクリプトを実行し、Internet からマルウェア本体をダウンロードします。
+このような手順を踏むのは、①VBAやスクリプトを難読化することでアンチウイルスの検出を免れること、②アンチウイルスに正常なプロセスと認識させること、などを狙ったものと考えられます。
*設定対策 [#b8e3b571]
本件は、信頼できない相手方からのOffice文書は保護ビューを解除しない、Viasual Basic for Application (VBA/マクロ) を禁止する、PowerShellの実行ポリシーを禁止にすることで、抑止できたと考えられます。
+ユーザーに対面したことがない相手方からのOffice文書は、開かないもしくは保護ビューを解除しないことを教育する~
メールで何回かやり取りをし信頼関係を築いた上で、添付の Word を開かせる、という手口があることに留意する。~
Emotet は組織内のメールアドレスを窃取し、組織内の従業員をなりすます場合があることに留意し、組織内のファイルのやり取りは、File Server や、他のコミュニケーションツール経由とするなどを検討する。
+ユーザー権限は標準ユーザーとし、 Built-in Administrators(ローカル管理者グループ)に所属させない。~
+グループポリシーによるPowerShellの実行ポリシーの制御(停止、署名済みのみ許可等)。
+AppLocker、Defender Application制御、AppLocker を使った PowerShell.exe、PowerShell_ISE.Exe、System.Management.Automation.dll の実行制御。
