Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

次世代セキュリティ製品の検知回避を狙う「Emotet」

約5カ月の沈黙を経てふたたび7月に活動を再開したマルウェア「Emotet」。近年注目されている機械学習ベースのマルウェア対策製品から検知を回避する機能なども備えていた。

大量の亜種により、定義ファイルベースの製品による検出を逃れる手法は、多くのマルウェアで見られるが、7月以降出回っている「Emotet」ではサンドボックスを利用したゲートウェイ製品や、機械学習により作成されたマルウェアの検出エンジンなど、いわゆる「次世代セキュリティ製品」の検知を回避しようとする機能を備えていた。

ゲートウェイによる検出を避ける手段としては、パスワードを用いないとファイルを開けない暗号化した「zipファイル」を悪用している。

メールに記載されたパスワードを用いてzipファイルを復号し、チェックが行える製品も一部存在しているが、OSの標準機能では復号できない「AES 256ビット」の暗号化を用いることで高度な検出についても回避を試みている。

エンドポイントにおける検出回避の手法も巧妙だ。ハッシュ値の異なる大量の亜種にも対応できるよう、機械学習ベースの検出エンジンを搭載したセキュリティ製品も登場しているが、機械学習の手法を逆手に取り、検出を回避する手法が用いられていた。

(Security NEXT - 2020/10/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

職員3人「Emotet」感染、認証情報窃取されスパム踏み台に - 室蘭工業大
「Emotet」感染、なりすましメールに注意喚起 - 都築電気
「Emotet」感染でアカウント奪われ、大量のメール送信 - 埼大
MSDTのゼロデイ脆弱性、悪用拡大中 - 「QBot」の拡散にも
高齢者支援施設名乗る不審メール出回るもマルウェア感染確認されず - 仙台市
JPCERT/CC、「EmoCheck v2.3」を公開 - 「Emotet」検出方法を拡充
進化する「Emotet」に対応した感染チェックツール最新版を公開 - JPCERT/CC
若者向け就労支援事業の委託先で「Emotet」感染 - 東京労働局
未感染者にも及ぶ「Emotet」被害 - なりすまされ、約10万件のメール
新手の攻撃?と思いきや、被害組織のPPAPシステムが「Emotet」メールも暗号化