無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

カテゴリ:日記 > ウイルスメール

初回投稿 2016年6月18日

<感染>顔文字ウイルスメール対策3つとPhorpiexボットネット

Windows攻撃ターゲットでトロイの木馬・ワームPhorpiexボットネットによる不審な迷惑メール送信手口。スクリプトファイルや実行ファイルでランサムウェア感染、ビットコイン脅迫セクストーションメール、仮想通貨Moneroクリプトマイニング被害。

迷惑メール(スパムメール) を不特定多数にバラ撒いて、ウイルス感染させる攻撃の実例です。

メールの送信者として、ドコの誰とも分からん外国人の女性名が記載されてある Eメール で、そのメールに添付されたファイルを確認するよう誘惑する手口です。

【迷惑メール件名例 - Phorpiex スパムボット】
Always thinking about you
Are you ashamed??
Check out my photo from instagram
Do you know her?
Do you know him?
Do you know them?
Do you know this person?
Do you like it?
Do you like my photo?
Do you think I can share this picture?
Don't show anyone!
Felt in love with you!
Good enough for facebook?
I hope my photo is good enough
I hope my picture is good enough
I like this photo
I love this photo
I love you
Is my photo good enough?
Is this you?
Is this your photo?
Just for you!
Keep it private!
Keep this photo private
Keep this picture secret
Keep this picture to yourself
Keep this private
Look at this photo!
Love
Love you
My favourite photo
My friends told my pic isn't good enough
My letter just for you
My love letter for you
My new photo
My photo
My photo for you
New photo for you
Our photo
Photo de vous???
Photo just for you
Photo of last party
Photo of the day
Photo of us
Photo of you???
Picture for you
Picture of you??
Please rate my photo
Please read and reply
Rate my new photo please!
Rate my picture
Really your picture?
Seen this photo?
Should I upload this pic on instagram?
Should I upload this picture on facebook?
Someone showed me your picture
Take a look at my new picture please
Take a look please
Tell me what you think of this picture
This is my love letter to you
This is the funniest picture ever!
What do you think of my new hair?
What you think of my new hair color?
What you think of this picture?
Whats wrong with this photo?
Why you look so ugly here?
Wrote my thoughts down about you
Wrote the fantasy about us down
Wrote this letter for you
You'd Be Surprised
You are my love!
You got caught!
You like this photo?
You look good here
You look so beautiful on this picture
You look so ugly here
You really should see this
You should take a look at this picture
You will be shocked!
Your new photo?
Your opinion needed!
Your photo
Your photo isn't really that great

英語メールの件名の一部を日本語にチョイと翻訳しておくと、次のような意味になります。 

  • 「この人、知ってる?」
  • 「これはあなた?」
  • 「私の新しい髪型どう?」
  • 「私の新しい髪の色どう?」
  • 「この写真、超キレイ」
  • 「この写真の感想を教えて」
  • 「この写真を Facebook にアップしていい?」
  • 「この写真を Instagram にアップしていい?」
  • 「あなたへのラブレターです」
  • 「あなたのことをいつも考えてます」
  • 「あなたと恋に落ちました」
  • 「あなたが好きです」
  • 「あなたの意見が欲しい」
  • 「私の新しい写真を評価してくれない?」
  • 「誰にも見せないで!」

また、2019年~に確認されたEメールとして、件名に 「欧米圏で使われている顔文字の記号」 「日本の有名芸能人のアルファベット表記」 が使われました。

【迷惑メール件名例 - Phorpiex スパムボット】
 :) ;) :D :* 8) 8-) :-) :-D ;-)
 :) ;) :* :D ;D ;* :-) ;-) :-*
 :) ;) :* :-) ;-) :-* :D :-D 8-) 8-D
【迷惑メール件名例 - Phorpiex スパムボット】
Yui Aragaki ;) Aya Ueto ;) Yuriko Yoshitaka ;) Erika Toda ;) Maki Horikita ;) Erika Sawajiri ;) Kyoko Fukada ;) Nozomi Sasaki ;) Hikaru Utada ;) Namie Amuro ;) Kyary Pamyu Pamyu ;) Ayumi Hamasaki ;) Sheena Ringo ;) Misia ;)
Ai Hashimoto! Ai Otsuka! Aikawa! Airi Matsui! Akina Nakamori! Alice Hirose! Angela Aki! Aoi Miyazaki! Aya Ueto! Ayaka! Ayame Goriki! Ayumi Hamasaki! Ayumi! Chara! Chihiro Onitsuka! Crystal Kay! Eir Aoi! Emi Hinouchi! Emi Takei! Erika Sawajiri! Erika Toda! Hamasaki! Haruka Ayase! Haruma Miura! Haruna Kawaguchi! Haruna Kojima! Hayashibara! Hibari Misora! Hikaru Utada! Hiroshi Abe! Hiroyuki Sanada! Honoka Miki! Izumi Sakai! Jin Akanishi! Kaela Kimura! Kana Nishino! Kanata Hongo! Kanna Hashimoto! Kasumi Arimura! Kazunari Ninomiya! Keiko Fuji! Keiko Kitagawa! Ken Watanabe! Kento Yamazaki! Kiko Mizuhara! Koichi Domoto! Kumi Koda! Kyary Pamyu! Kyoko Fukada! Maaya Sakamoto! Mai Kuraki! Maki Goto! Maki Horikita! Maki Ohguro! Mao Inoue! Mariya Nishiuchi! Masahiro Nakai! Megumi Hayashibara! Megumi Yamano! Meisa Kuroki! Mika Nakashima! Mikako Tabe! Miki Imai! Miliyah Kato! Minako Honda! Minori Chihara! Mirei Kiritani! Miyuki Nakajima! Mizuki Yamamoto! Momoe Yamaguchi! Namie Amuro! Nana Komatsu! Nana Mizuki! Nanako Matsushima! Nanase Aikawa! Norika Fujiwara! Nozomi Sasaki! Olivia Lufkin! Pamyu! Reina Triendl! Rina Aiuchi! Ringo Sheena! Rinko Kikuchi! Rosa Kato! Ryoko Hirosue! Ryuhei Matsuda! Satomi Ishihara! Satoshi Tsumabuki! Seiko Matsuda! Sho Sakurai! Shota Matsuda! Shun Oguri! Sonny Chiba! Sota Fukushi! Suzu Hirose! Tadanobu Asano! Takayuki Yamada! Takenouchi! Takeru Sato! Takeshi Kaneshiro! Takeshi Kitano! Tatsuya Fujiwara! Thelma Aoyama! Tina Tamashiro! Toma Ikuta! Tomiko Van! Tomohisa Yamashita! Tomomi Itano! Tomomi Kahara! Tsubasa Honda! Wakana Aoi! Yoko Kanno! Yoshitaka! Yu Yamada! Yui Aragaki! Yui! Yukie Nakama! Yumi Matsutoya! Yuriko Yoshitaka! Yutaka Takenouchi! Firefly

Eメールの添付ファイルは? スクリプトファイルが危険

そんな迷惑メール(スパムメール)で手元にやって来た添付ファイルの種類は具体的に何でしょ?

次のような zip 形式 の圧縮アーカイブでした。 

イメージ 1
画像? 写真?

圧縮ファイルのままでは ”武器” としての攻撃能力がサッパリ無いので、手動で展開・解凍する作業を行うと、中身はこんな感じ。

【ウイルスメール 添付ファイル例】
Photo-[数字]-[数字].jpg.zip
 ↓ 解凍・展開

Photo-[数字]-[数字].jpg.scr

vbs-phorpiex-malspam
写真・画像ではない!

【ウイルスメール 添付ファイル例】
PIC_[数字]_2020.zip
IMG[数字]_jpg.zip
 ↓ 解凍・展開

PIC_526246_2020_jpg.vbs
IMG4956432020_jpg.vbs

イメージ 2
写真・画像ではない!

イメージ 4
Love You 愛のラブレターではない!

【ウイルスメール 添付ファイル例】
IMG[数字].jpg.js.zip
IMG[数字]-JPG.zip
PIC[数字]-JPEG.zip
IMG[数字]_2018-JPG.zip
Love_You_2018_[数字].zip
Love_You_[数字]-2019-txt.zip
Love_You_2019_[数字]-txt.zip
Love_You_[数字]_2019.zip
PIC0-[数字]2019-jpg.zip
PIC[数字]2019-jpg.zip
PIC[数字]-JPG.zip
 ↓ 解凍・展開

IMG[数字].jpg.js
IMG[数字]-JPG.js
PIC[数字]-JPEG.js
IMG[数字]_2018-JPG.js
Love_You_2018_[数字].js
Love_You_[数字]-2019-txt.js
Love_You_2019_[数字]-txt.js
Love_You_[数字]_2019.js
PIC0-[数字]2019-jpg.js
PIC[数字]2019-jpg.js
PIC[数字]-JPG.js

ファイルの拡張子に注意を払うウイルス対策

まず、ファイル名の視覚的なトリックに惑わされてはいけません。

  • 「photo」 「pic」 「picture」 「IMG」 「JPG」 「JPEG」
    → 写真や画像を見るよう誘う
     jpeg 形式の画像や写真

  • 「Love You」 「txt」
    → ラブレターの文書を読むよう誘う
     テキスト文書

ただ、Windows PC 向けの 拡張子に注意を払うウイルス対策(無料) ができているならば、メールのやり取りで送受信するファイル形式として、.js .vbs ファイルは明らかに普通ではなく異常です。

イメージ 5

このような場合に、対応が後手に回ることがあるセキュリティソフトにすべてを託さず、自力で脅威を見抜けるようにしておくのは、Windows PC のセキュリティ対策としてけっこう大事です。 <”知識” で防御を

  • ファイルの拡張子
    → 「~ .js」
    → 「~.vbs」

  • ファイルの種類
    Windows スクリプトファイル
    → 「JavaScript ファイル」 「JScript Script ファイル」
    → 「VBScript Script ファイル」


スクリプトファイルの動作環境は?

スクリプトファイル .js .vbs の動作環境は Windows XP/Vista/7/8/10 だけなので、ウイルスメールの攻撃対象は特定の環境に限定されます。

macOS → 動作しないファイル形式だから影響なし
 Android スマホ
 iOS (iPhone / iPad)
 ガラケー
人体

ランサムウェア、ネットバンキングウイルスなどに感染する

Windows ユーザーさんが、不正なスクリプトファイル .js .vbs を何気なくポチポチッとダブルクリックして開いてしまうと、バババーンと攻撃処理の発動です。

Love You、Photo、顔文字、有名芸能人の名前が登場する迷惑メールの正体は、添付ファイル型の ウイルスメール となります。

 ウイルスメールを単に受信しただけ → いっさい何も起こらない
 メールソフトのプレビュー機能 → ウイルス感染の引き金にならない


メインのマルウェアを PC に送り込む

この .js .vbs ファイルの目的は?

Windows のシステムにあらかじめ用意されてる次の正規プログラムを介して外部ネットワークに接続を試みて、何かしらマルウェアの実行ファイルをダウンロードしてきて起動する処理を含んでます。

  • wscript.exe

  • powershell.exe

  • bitsadmin.exe

正規プログラムを悪用する理由は、攻撃の妨害をしてくるセキュリティソフトの検出を効果的にスルーッとスリ抜けさせるためです。

Microsoft が開発した正規のプログラム → セキュリティソフトは脅威と判定しない
Windows のシステムに最初から用意されてある → 攻撃者は気軽に悪用し放題

ダウンロードされる実行ファイルは?

ワーム、偽セキュリティソフト、ネットバンキングウイルス、ランサムウェア、仮想通貨マイニングウイルス、バックドア、スパイウェアなど、攻撃者のその時の気分次第で変動します。




無料ウイルス対策! 100%感染被害を防げる方法

怪しいメールを開くな!』 『不審なファイルを開くな!』 といった気合で乗り切る精神論は危ないです。

代わり、ウイルス感染被害を100%確実に回避できる強力な ウイルスメール対策 として、攻撃者の出鼻をボキボキボキッとくじく 不正なファイルを無害化する方法 が効果ありです。

  1. 拡張子 js vbs wsf ファイルのウイルス対策
    https://fireflyframer.blog.jp/19064102.html

  2. 拡張子 doc docm xls xlsm ファイルのマクロウイルス対策
    https://fireflyframer.blog.jp/19063931.html

  3. Windows 10 ファイアウォールの設定でウイルス対策
    https://fireflyframer.blog.jp/19064221.html

感染手口に沿う無料ウイルス対策をあらかじめ実施してある Windows ユーザーさんは、”うっかり” をいくらやっても感染攻撃は100%失敗するから最強です。 <いっさいお金もかからない

ウイルス感染バックヤードに Phorpiex ボットネット

迷惑メールがドバドバ配信される裏側がヤバい!

これはワームに分類される Phorpiex (読み方 「フォーピークス」)、開発者の呼称 「Trik」 に感染し、攻撃者が遠隔操作できる複数の Windows からメール送信が実施されています。 


Phorpiex ダウンローダー

ロシア語圏のアンダーグラウンド上で展開されていると想定されるアフィリエイトのキャンペーン (マルウェアの配信で報酬を得る) に参加して、任意の実行ファイルを攻撃者の気分次第でダウンロードさせて起動する

  • ボットネット
    「Phorpiex」

  • ランサムウェア
    「GandCrab Ransomware」
    「NEMTY 2.5 REVENGE」
    「Avaddon Rasnomware」
    「W3CRYPTO LOCKER」 (BitRansomware)

  • クリプトマイニング
    「Monero XMR Miner」

  • インフォ スティーラー
    「Raccoon Stealer」
    「Predator the Thief」

  • その他
    「Ursnif」

Phorpiex ボットネットの通信手段として、当初の IRCプロトコル → TCPプロトコルTorプロトコル が採用されている


セキュリティ製品の検出迂回


DisableScanOnRealtimeEnable
DisableOnAccessProtection
DisableBehaviorMonitoring
AntiVirusOverride
UpdatesOverride
FirewallOverride
AntiVirusDisableNotify
UpdatesDisableNotify
AutoUpdateDisableNotify
FirewallDisableNotify
DisableAntiSpyware


Phorpiex ワーム

  • USB フラッシュメモリ
    不正なショートカットファイルと自分自身のコピー 「DeviceManager.exe」 「DriveMgr.exe」 を作成する

  • 正当な PE 実行ファイルを改ざんする
    Phorpiex ボットネットをダウンロードする攻撃処理が含まれた 「.zero」 セクションを追加する

  • 圧縮アーカイブ .zip .rar ファイル 内に自分自身のコピー 「Windows Archive Manager.exe」 を追加する


Phorpiex スパムボット



Phorpiex クリプトジャッキング

  • Windows のクリップボードを監視する
    コピーされた Bitcoin などのウォレットのアドレスをコッソリ書き換えて仮想通貨を盗む

  • コインマイナーの実行ファイルを起動して仮想通貨 Monero をマイニングする


Windows サーバーへ遠隔感染

  • VNC サーバー (tcp/5900 ポート) に脆弱なパスワードで不正アクセスする
    NetBIOS (tcp/139 ポート) に脆弱なパスワードで不正アクセスする
    Phorpiex ボットネットやランサムウェアをダウンロードして遠隔感染させる

Phorpiex セキュリティソフト検出名例】
ESET Win32/Phorpiex Win32/Phorpiex.Q Win32/Phorpiex.V Win32/Phorpiex.W Win32/Phorpiex.X Win32/Phorpiex.Y Win32/Phorpiex.AB Win32/Phorpiex.AG Win32/Phorpiex.AE Win32/Phorpiex.AN Win32/AutoRun.IRCBot Win32/CoinMiner.BEX PowerShell/TrojanDownloader.Agent.DV Win32/TrojanDownloader.Agent.EQH Win64/TrojanDownloader.Agent.EB Win32/TrojanDownloader.Agent.FKA
Kaspersky Trojan-Downloader.Win32.Trik HEUR:Trojan-Dropper.Win32.Phorpiex HEUR:Trojan-Downloader.Script.Generic Trojan.Win32.Patched.rw Trojan.Win64.Patched.q
Microsoft Worm:Win32/Phorpiex Worm:Win32/Phorpiex.AF!bit Backdoor:Win32/Phorpiex Backdoor:Win32/Phorpiex.YP!bit Backdoor:Win32/Kirts.A Backdoor:Win32/Kirts!rfn Trojan:Win32/Kryptomix Worm:Win32/Phorpiex!lnk Trojan:Win32/Gandcrab.AF Worm:Win32/Phorpiex.G!MTB TrojanDownloader:PowerShell/Ploprolo.A TrojanDownloader:Win32/SmallAgent!MTB TrojanDownloader:Win32/SmallAgent!atmn Trojan:Win32/Phorpiex!MSR Trojan:Win32/Phorpiex.SM!MSR Worm:Win32/Phorpiex!MSR Trojan:Win32/Phorpiex.SBR!MSR TrojanDownloader:Win32/Phorpiex.MK!MTC TrojanDownloader:Win32/Phorpiex.C
Symantec Trojan.Wortrik Trojan.Wortrik!lnk ISB.Downloader!gen48
Trend Micro Worm.Win32.PHORPIEX WORM_PHORPIEX WORM_TRIK.A Trojan.INF.PHORPIEX.AVL Mal_OtorunG Worm.LNK.PHORPIEX Trojan.Win64.SMALL.SMTX


関連するブログ記事

このエントリーをはてなブックマークに追加

初回投稿 2018年1月5日

<解決>Emotetウイルス感染100%防ぐ対策とファイアウォール設定2つ

マルウェアEmotetエモテットとは? Windows PCウイルス対策で感染被害を100%防ぐ無料Emotet対策。ウイルスバスター/カスペルスキー/ノートン/ESET検出名。迷惑メール経路のdoc/docm/xls/xlsmファイルはMac、Androidスマホ、iPhoneでEmotet影響あり?

必ずしも怪しいと見抜けない Eメール を受け取った?

  • Eメールに 添付ファイル が付いている

  • 添付ファイルはない
    一方で、Eメール本文に記載された URL リンク のクリックを誘う

そんな危険な 迷惑メール(スパムメール) が、世界中のEメールアドレス宛てにバラ撒かれています。


不審メールにマクロウイルスの感染手口

受け取った迷惑メール (スパムメール) から入手したファイルの形式は具体的にナニ?

  • Microsoft Office ファイル
    拡張子 … .doc .docm .xls .xlsm .rtf

  • 圧縮アーカイブ
    拡張子 … .zip .rar
    └ セキュリティソフトを迂回できる 「パスワード付き圧縮アーカイブ」

  • 過去に不正な スクリプトファイル (拡張子 .js) のパターンも

セキュリティ製品やメールソフトのスパムフィルターは、Office ファイルや圧縮ファイルを安直に弾けず、古典的な Windows 向け実行ファイル (拡張子 .exe) ではないので、ファイルを手にしたユーザーさんに怪しまれないメリットがあります。

このワードファイル .doc .docm .xls .xlsm の正体は マクロウイルス という脅威です。

そして、Windows をターゲットにするマルウェア Emotet 〔読み方 エモテット〕 を感染させる機能が含まれています。

【マクロウイルス とは】 無題な濃いログ
マクロウイルスは、オフィスソフト Microsoft Office に実装されている標準機能 Visual Basic for Application、いわゆるマクロを悪用して不正な攻撃を行うコンピュータウイルス。マクロウイルスが影響する環境は、基本的に Microsoft Office がインストールされてある Windows か macOS になる。
その脅威の実体は Word ファイル (.doc .docm) や Excel ファイル (.xls .xlsm) にすぎないので、ユーザーがファイルの見た目dけで脅威を認識することが難しく厄介。
---
なお、マクロウイルスは何かしらセキュリティ上の欠陥 (脆弱性) を悪用する類ではないので、セキュリティ対策として Windows Update の実施は直接的な効果が無いところにも注意が必要。
世界初のマクロウイルスはだいぶ前の1995年に確認されているものの、決して化石のような過去の遺物ではなく、2014年あたりからEメールを介してマクロウイルスをつかませる攻撃手口として ”復活” している。
Emotet とは 無題な濃いログ
Emotet 〔読み方 エモテット〕 は、欧州の国をターゲットにネットバンキング不正送金を意図するコンピュータウイルスとして2014年6月に初めて 報告 (Trend Micro) された Windows の脅威。ネットバンキングウイルス Cridex の後継品として投入されたと考えられている。
2017年4月あたりから、ネットバンキングウイルス、スパイウェア、ランサムウェアといった任意の実行ファイルを PC に送り込んで感染させる ”配信プラットフォーム” の性質を持った 「ダウンローダー型トロイの木馬 Emotet」 に特化する路線変更を経て、現在に至る。
---
Emotet 開発者グループの呼称 … TA542 (Proofpoint)、MUMMY SPIDER (CrowdStrike)、Mealybug (Symantec)
Emotet はあくまでセキュリティ会社が勝手に付けた名称にすぎないので、Emotet に関与するサーバー犯罪者がアンダーグラウンド界で呼ぶ正式名はナゾである。

なお、Emotet ウイルスは特定の組織を狙う標的型攻撃ではなく、一般ユーザーも影響を受けうるウイルスメール攻撃が展開されます。 <地球上の Windows ユーザーが狙われる

Windows XP/Vista/7/8/10/11 … マクロウイルスや Emotet の感染あり
× macOS … マクロウイルスや Emotet に感染する影響なし
× Android スマホ
× iOS (iPhone / iPad)
× Linux
× 人体


心を操られる!? マクロを許可させる巧妙な感染手口

Windows 上で不正な Office ファイル .doc .docm .xls .xlsm .rtf を開いたらどうなる?

マルウェア Emotet ダウンローダーの攻撃処理を含むマクロ入り Word 文書ファイル 拡張子 doc docm rtf
Emotet 感染経路になっている Word ファイル実物

最初に、Microsoft Office の [コンテンツの有効化] (英語の場合は [Enable Contents]) ボタンを押すよう、主に英語で指示を出すメッセージが表示されます。

~ マクロを許可するよう指示するメッセージ例 ~

This document created in online version of Microsoft Office Word To view or edit this document, please click Enable editing button on the top yellow bar, and then click Enable contentYou are attemping to open a file that was created in an earlier version of Microsoft Office. If the file opens in Protected View, click Enable Edition and then click Enable Content. This document only available for desktop or laptop versions of Microsoft Office Word. To open the document, follow these steps: Click Enable editing button form the yellow bar above. Once you have enabled editing, please click Enable content button.This document was created in OpenOffice. To edit this document, click Enable editing button from the yellow bar above. Once you have enabled editing, please click Enable content button form the yellow bar above. You are attemting to open a file that was created in an earlier version of Microsoft Office if the file opens in Protected View, click Enable Editing and then click Enable CententMicrosoft Office Activation Wizard Thank you. Your copy of Microsoft Office is activated. To make you changes take effect, click Enable Editing and Enable Content PROTECTED VIEW The action can't be completed because the file is open in Protected View. Some active content has been disabled. Click Enable Editing and Enable Content. Word couldn't start last time. Safe mode could help you troubleshoot the problem. To start Microsoft Word in safe mode press Enable Editing and Enable Content. PRODUCT NOTICE Word hasn't been activated. To keep using Word without interruption, Enable Editing and Enable Content.

このメッセージは Windows ユーザーを騙すウソ です。

  1. Microsoft Office はデフォルトでマクロを動作させないセキュリティ制限あり

  2. 一方、マクロの動作を Windows ユーザーの意思で ”手動で許可” が可能

この ”手動で許可” が深刻な事態を起こす Emotet 感染トラップになっていて、Emotet の感染を狙う攻撃者は、コトバを使い 人間の脳に囁いて心を操る戦略でマクロの動作の許可させようとします

イメージ 1
セキュリティの警告 [コンテンツの有効化]

不正な Office ファイルを開いた直後に警告されても意図が理解できないユーザーがいる
警告の認識すらなく Office ファイルを表示する作業の一環と思い違いするユーザーがいる

悲しいかな、警告や確認の場面があるのに、何も考えずに先へ進めてしまう Windows ユーザーさんが出現して、一方でセキュリティソフトを迂回されてしまえば、もう感染の阻止ができません。

PowerShell 悪用で Emotet ウイルス感染

どう対処すれば Emotet(エモテット) に感染しなくなるのかい?

現物を分析してみると、ウイルス対策のポイントが丸分かりなので Emotet 感染実験を行ってみました。

不正な Office ファイルを普通に開く

マクロを手動で許可する

感染攻撃をモロに喰らる

その時の Windows のプロセスの様子がコチラ♪ (使用ソフト Sysinternals Process Explorer)

マクロウイルスなワード文書ファイル .doc を開き、[コンテンツの有効化] ボタンを押してマクロの動作を許可するとマルウェア Emotet に感染する直前の Windows の様子。プロセスで Microsoft Word のツリーにぶら下がる PowerShell が Emotet の実行ファイルをダウンロード
《過去》 2019年2月までのプロセスの様子
Microsoft Word -> コマンドプロンプト -> PowerShell

マクロが処理されると、Microsoft Word とのプロセスの親子関係を分離させる目的で WMI wmiprvse.exe から PowerShell を起動する
《現在》 プロセスの様子 2019年2月~
WMI WmiPrvSE.exe -> PowerShell

Emotet ダウンロードに JScript Encoded Script ファイル .jse を開いて wscript.exe Windows Script Host を起動する
《過去》 プロセスの様子 2020年1月
Microsoft Word -> wscript.exe

Windows のシステムに最初から実装されているプログラム PowerShell、…実行ファイルでいう powershell.exe が起動しているパターンだと、PowerShell はどんな処理をしているか?

powershell.exe に渡されたパラメータ enco のスクリプトは Base64 エンコードで難読化されていて攻撃処理の内容が判断できない
powershell.exe に渡されたパラメータ文字列
 Base64 エンコードの処理があって読み取れず

Base64 のデータをデコードして難読化を解除すると PowerShell スクリプトには 5つの URL に接続を試みて .exe ファイルをダウンロードしてきて実行する
デコード後の PowerShell スクリプトの中身に URL を 5 つ確認

この URL が外部ネットワークの ”ウイルス置き場” です。

このサーバーに powershell.exe を介して接続を試みて、マルウェア Emotet の実行ファイル .exe をダウンロードしてきます。 (使用ソフト Telerik Fiddler)

イメージ 6
powershell.exe による通信トラフィックの様子

  • Emotet 本体のウイルス置き場
    WordPress を使用しているハッキングされた一般サイトのサーバーを悪用している
    運営者が気づいて対処するのを見越して、予備を含む5つの接続先が準備されてある

  • セキュリティ製品を迂回されうる
    PC はもともと安全と判定されている一般サイトの正当なサーバーに接続するだけ

Windows ユーザーさんの意思で Office ファイル (拡張子 .doc .docm xls .xlsm .rtf) を開き、マクロの動作を許可するボタンを押した結果、マルウェア Emotet が裏でコッソリとダウンロードされてきて感染です。


キュリティソフトを真っ先に出し抜く Emotet

ちなみに、こういう風に PowerShell を悪用してメモリ上にのみ攻撃処理を展開する手法のことを、セキュリティ界隈では 「ファイルレス攻撃」 「ファイルレス マルウェア」 と呼んでいます。

  1. 正当な場面で使われる Office マクロ、WMI、PowerShell、Windows Script の悪用
    → ウイルス感染を防ごうと頑張る セキュリティソフトの検出が迂回される

  2. Windows ユーザーさんは裏で起こったトンでもな攻撃に気づけない
    → 何かウィンドウ画面が表示されることもなく 感染症状として目に見ない

この恐ろしい攻撃を防ぐため、いろいろ不安を煽りつつ Emotet の対策と称した ”サイバーセキュリティ製品” を便乗 PR する記事を目にするけど、購入を検討する必要性なし♪

Emotet 対策 2 つでウイルス感染100%防止

迷惑メールで Emotet をいきなり手渡されることはない、ということを押さえた上で、Windows を護る有効な Emotet 対策として、次の 2 つの作業で先手をバシッと打つのがポイントです。

  1. マクロウイルスの根本的な感染防止対策

  2. ファイアウォールの設定で Emotet 対策

× 「不審なEメールを開かない」 「怪しいファイル・URLを開かない」 を唱える
→ セキュリティ感覚のないユーザーは 「不審な」 「怪しい」 の段階でつまずくから無謀
→ 攻撃者が一歩先にいて、対応が後手に回るセキュリティソフトは後出しジャンケン

Emotet(エモテット) に 100% 感染しなくなる効果的な 無料ウイルス対策 がコチラ♪


【1】 Emotet 対策としてマクロウイルスの無効化

そもそも、マクロウイルス対策は Microsoft Office に最初から実装されています<対策にお金がかからない

具体的に、Microsoft Word または Microsoft Excel の [オプション] → 左メニューの [セキュリティセンター](トラストセンター) → [セキュリティセンター](トラストセンター) ボタン → 左メニューの [マクロの設定] で 4 択オプションの変更です。

お金がかからないマルウェア Emotet の対策として、Microsoft Word / Excel のセキュリティ設定を変更しマクロ感染型ウイルスの無害化 「警告を表示してすべてのマクロを無効にする」→「警告を表示せずにすべてのマクロを無効にする」
Microsoft Office で Emotet 対策

警告を表示せずにすべてのマクロを無効にする(L) 【推奨】
警告を表示してすべてのマクロを無効にする(D) 【注意】
● デジタル署名されたマクロを除き、すべてのマクロを無効にする(G) Firefly
すべてのマクロを有効にする(推奨しません。危険なコードが ~ あります)(E) 【危険】

2 番目の 「警告を表示して」 は Emotet 感染の引き金になっている [コンテンツの有効化] ボタンを指します。

→ Emotet 感染リスクあり
→ Emotet 感染リスクなし

設定を切り替えてマクロの動作を無効化しておくと、不正な Office ファイルをうっかり開いても Emotet に感染させるマクロの動作が機能せず、Emotet 対策として 100% 感染防止が実現されます。


【2】 ファイアウォールの設定で Emotet 対策

上で触れたように、外部ネットワークから Emotet の実行ファイルを落としてくる ”ダウンローダー” の役割として、 Windows に組み込まれている Microsoft の正規プログラムが悪用されます。

そこで、任意のソフトウェアの外部通信を制御する ファイアウォール の出番です。

powershell
Windows 標準のファイアウォールでブロックする?

あらかじめ、次の実行ファイルを ファイアウォールの外部通信 (送信側、アウトバウンド通信) でブロック対象に登録しておくことで、狡猾な Emotet 攻撃者を確実に出し抜くことができます。

  • powershell.exe

  • wscript.exe

この Emotet 対策は、セキュリティソフトに用意されてあるファイアウォール機能を使う、あるいは Windows に最初から搭載されている Windows ファイアウォール を使って追加投資なく実現できます。





[おまけ] 一般的なセキュリティ対策 2 つ

ウイルスメールの Emotet 感染経路ではなく、Windows でネットサーフィン中に ”ウェブサイトを見る” という他愛のない行為からマルウェアが強制インストールされる被害を防ぐ有効なセキュリティ対策がコチラ!

  1. 定例更新 Windows Update の今月分は適用済み?
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. ブラウザは最新版を使用している?
    Microsoft Edge、Google Chrome、Mozilla Firefox

  3. (Microsoft Defender ユーザー向け)
    先鋭的な攻撃に対抗する Microsoft Defender クラウド保護 はオンにしてある?

    Emotet ウイルスメール関連トピックス


    Emotet ウイルスメール注意喚起ページ

    ヒューマンエラー (人為的ミス) を起こす人間に対して、『怪しいEメールを開くな』 といった自力で見抜いて気合でどうにか頑張れ、といった似非ウイルス対策では Emotet に殺られるだけです。

    ● マルウエア Emotet の感染に関する注意喚起 - JPCERT/CC
    https://www.jpcert.or.jp/at/2019/at190044.html

    ● 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて - IPA 情報処理推進機構
    https://www.ipa.go.jp/security/announce/20191202.html


    関連する Emotet のウイルス検出名

    Emotet 攻撃者はセキュリティソフトのウイルス定義データで検出されない新鮮な Emotet 亜種を随時投入しています。

    仮に Windows PC が Emotet に感染しても、追ってセキュリティソフトに駆除されないよう、自分自身を一日に複数回更新し続けて、ユーザーに気づかれることなく Emotet の最新バージョンを維持できる耐久性があります。

    【Wordファイル .doc .docm .rtf】

    ESET GenScript VBA/TrojanDownloader.Agent.MUV VBA/TrojanDownloader.Agent.REF VBA/TrojanDownloader.Agent.RFF VBA/TrojanDownloader.Agent.RGB VBA/TrojanDownloader.Agent.RGL VBA/TrojanDownloader.Agent.RGO VBA/TrojanDownloader.Agent.RGQ VBA/TrojanDownloader.Agent.RGY VBA/TrojanDownloader.Agent.RHP VBA/TrojanDownloader.Agent.RIT VBA/TrojanDownloader.Agent.RIH VBA/TrojanDownloader.Agent.RIU VBA/TrojanDownloader.Agent.RJX VBA/TrojanDownloader.Agent.RKK VBA/TrojanDropper.Agent.ARR VBA/TrojanDownloader.Agent.RKE VBA/TrojanDownloader.Agent.RKU VBA/TrojanDownloader.Agent.RKV VBA/TrojanDownloader.Agent.RLF VBA/TrojanDownloader.Agent.RLL VBA/TrojanDownloader.Agent.RMA VBA/TrojanDownloader.Agent.RMM VBA/TrojanDownloader.Agent.RNH VBA/TrojanDownloader.Agent.RNP VBA/TrojanDownloader.Agent.ROD VBA/TrojanDownloader.Agent.MKP JS/TrojanDownloader.Agent.UEX

    Kaspersky HEUR:Trojan.MSOffice.SAgent.gen HEUR:Trojan.Script.Generic HEUR:Trojan-Dropper.MSOffice.SDrop.gen Firefly

    McAfee W97M/Downloader.xx W97M/Downloader.ip W97M/Downloader.zu W97M/Downloader.aga W97M/Downloader.aew W97M/Downloader.ate W97M/Downloader.bid W97M/Downloader.bhy W97M/Downloader.bjd W97M/Dropper.da W97M/Downloader.aie W97M/Downloader.bip W97M/Downloader.biy RDN/Generic Downloader.x RDN/Emotet

    Microsoft
    TrojanDownloader:O97M/Emotet!MTB TrojanDownloader:O97M/Emotet.ARJ!MTB TrojanDownloader:O97M/Emotet.UO!MTB TrojanDownloader:O97M/Emotet.VB!MTB TrojanDownloader:O97M/Emotet.VD!MTB TrojanDownloader:O97M/Emotet.AR!MTB TrojanDownloader:O97M/Emotet.VQ!MTB TrojanDownloader:O97M/Emotet.ASR!MTB Trojan:O97M/Sonbokli.A!cl Trojan:Script/Casur.A!cl Trojan:Script/Oneeva.A!ml Trojan:Script/Conteban.A!ml Trojan:Script/Foretype.A!ml Trojan:O97M/Foretype.A!ml TrojanDropper:O97M/Powdow!rfn Trojan:O97M/Madeba.A!det

    Symantec W97M.Downloader ISB.Downloader!gen60 ISB.Downloader!gen76 ISB.Downloader!gen92 ISB.Downloader!gen186 ISB.Downloader!gen279 ISB.Downloader!gen334 Firefly

    Trend Micro Trojan.W97M.POWLOAD.TIOIBEHQ Trojan.W97M.POWLOAD.TIOIBEHY Trojan.W97M.POWLOAD.TIOIBEID Trojan.W97M.POWLOAD.TIOIBEIA Trojan.W97M.POWLOAD.TIOIBEIJ Trojan.W97M.EMOTET.JKBJ Trojan.W97M.EMOTET.JKBM Trojan.W97M.POWLOAD.EIL Trojan.W97M.POWLOAD.THAAHBO Trojan.W97M.POWLOAD.THAAGBO Trojan.W97M.POWLOAD.SMBB69 Trojan.W97M.POWLOAD.SMAD71 Trojan.W97M.EMOTET.JKBJ Trojan.W97M.EMOTET.JKCA Trojan.W97M.EMOTET.JKCC Trojan.W97M.EMOTET.JKCO Trojan.W97M.EMOTET.JKCP Trojan.W97M.EMOTET.JKCW Trojan.W97M.EMOTET.JKCY Trojan.W97M.EMOTET.JKCZ Trojan.W97M.EMOTET.JKDB Trojan.W97M.EMOTET.JKDC Trojan.W97M.EMOTET.JKDD Trojan.W97M.EMOTET.JKDE Trojan.W97M.EMOTET.JKDF Trojan.W97M.EMOTET.JKDP Trojan.W97M.EMOTET.JKDQ Trojan.W97M.EMOTET.JKDR Trojan.W97M.EMOTET.MLDT Trojan.W97M.EMOTET.MLDU Trojan.W97M.EMOTET.TIOIBEJL Trojan.W97M.DLOADR.TIOIBEJD TROJ_FRS Possible_SMPOWLOADBB4 HEUR_VBA.O2
    【Emotet 実行ファイル .exe】

    ESET Win32/Emotet.BN Win32/Kryptik Win32/GenKryptik
    https://www.virusradar.com/en/Win32_Emotet/detail

    Kaspersky HEUR:Trojan-Banker.Win32.Emotet.gen Trojan.Win32.Emograbber Trojan-PSW.Win32.Emostealer Trojan.Win32.Emospam UDS:DangerousObject.Multi.Generic FireflyFramer
    https://threats.kaspersky.com/ja/threat/Trojan-Banker.Win32.Emotet

    McAfee RDN/Emotet-Dropped Emotet-FPF

    Microsoft Trojan:Win32/Wacatac.B!ml Trojan:Win32/Wacatac.C!ml Trojan:Win32/Emotet!ibt Trojan:Win32/Emotet!MTB Trojan:Win32/Emotet.ARJ!MTB TrojanDownloader:Win32/Emotet Behavior:Win32/Emotet.A!nri Behavior:Win32/Emotet.A!​sms TrojanDownloader:Win32/Emotet!ml
    https://www.microsoft.com/en-us/wdsi/threats/threat-search?query=Win32/Emotet

    Symantec Trojan.Emotet Trojan.Emotet!g4 Trojan.Emotet!g5 Trojan.Emotet!g6 Trojan.Emotet!g7 Trojan.Emotet!g8 Trojan.Emotet!g9 Firefly

    Trend Micro TrojanSpy.Win32.EMOTET.SMD TrojanSpy.Win32.EMOTET.SMTHBGA.hp TrojanSpy.Win32.EMOTET.SMD6.hp TrojanSpy.Win32.EMOTET.SMC5 TrojanSpy.Win32.EMOTET.SML.hp Trojan.JS.EMOTET TSPY_EMOTET
    https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/search/trojanspy.win32.emotet

    関連キーワード忘備録メモ

    [エモテット とは] [エモテット 対策] [エモテット Mac] [エモテット ウイルスバスター] [エモテット スマホ] [エモテット iPhone] [エモテット ウィルス] [エモテット 被害] [Emotet 対策] [エモテット 感染 確認] [Emotet とは] [Emotet ウイルス] [Emotet 日本] [Emotet 感染経路] [Emotet 駆除] [Emotet 解析] [Emotet Mac] [Emotet macOS] [Emotet ESET] [Emotet ウイルスバスター] [Emotet iPhone] [Emotetto とは] [ウイルスメール 開いたら] [ウイルスメール 多い] [ウイルスメール 添付ファイル] [ウイルスメール 対策] [.doc とは] [.doc 開く] [.doc 拡張子] [doc ファイル ウイルス] [docm ウイルス] [Word ファイル 添付] [Word形式 とは] [Word形式 ファイル] [ワードファイル とは] …

    関連するブログ記事
    請求書メールdoc/xls添付ファイルがウイルス

    このエントリーをはてなブックマークに追加

    初回投稿 2015年9月5日
    最終更新 2019年9月1日

    心を操るマクロウイルス実例5つ 症状と対策でxls/doc/docmファイルが危険

    イメージ 12

    ウイルス感染経路はほぼ100% Eメール です!

    迷惑メール(スパムメール) の添付ファイル として受け取る場面が多い マクロウイルス の脅威にユーザーさんがガッツリ対抗するため、マクロウイルスの感染手口と被害を防ぐ無料ウイルス対策を紹介しましょう。

    そもそもマクロウイルスとは? 実体は Office ファイル

    そもそもマクロウイルスとはナニ?

    マイクロソフト提供のオフィス製品 Microsoft Office に標準で実装されている Visual Basic for Applications(ビジュアルベーシック for アプリケーション、通称 VBA) の機能を悪用する不正なファイルをマクロウイルスと言います。

    特に、Microsoft Office ファイルの2つの形式に、不正な攻撃処理を仕込んでおく手口が定番です。

    1. ファイルの拡張子 … .doc あるいは .docm
      ファイルを開く → 文書作成ソフト Microsoft Word (ワード)

    2. ファイルの拡張子 … .xls あるいは .xlsm
      ファイルを開く → 表計算ソフト Microsoft Excel (エクセル)

    なお、Microsoft Office がインストールされてない Windows 環境は、マクロウイルスの影響はないことになります。


    ウイルスメールの内容は…

    マクロウイルス付きの迷惑メール(スパムメール)のテーマは?

    Windows ユーザーさんを騙して、不正な Office ファイルを開いてもらうことが必須なので、通常でもやり取りされうる通知メールやビジネスメールを装うことで、確認したい衝動の赴くままメールの添付ファイルについ手が伸びる仕掛けです。ます。

    • 金銭の支払いネタ
      └ 請求書/インボイス (invoice/payment)
      └ 領収書 (receipt)

    • FAX やコピー複合機のデータ受信

    • 運送会社を名乗って荷物の配達通知

    無効になっているマクロを許可させる攻撃手口

    実は、Microsoft Office の生みの親であるマイクロソフトは、マクロウイルスの脅威に対抗して先手を打っています。

    Windows ユーザーさんがマクロを含む Office ファイルを開いたとしても、マクロの動作は処理されないようブロックされる仕組みになっていて、Microsoft Office のウィンドウ上部にセキュリティ警告の通知バーが表示されます。

    ~ Word や Excel に表示される通知バー ~



    ユーザーの心を操りマクロを許可させる

    マクロウイルスを使った攻撃を成功裏に収めるには、ユーザーを騙してマクロの動作を許可するよう仕向けなくてはなりません

    攻撃者はマクロを許可させる理由をデッチ上げたダマシのメッセージやイメージ画像が表示される不正な Office ファイルを投入し、マクロを許可するよう仕向けてきます。

    New Macro Malware Uses Fake Google Enterprise Support Email - Cyren
    https://www.cyren.com/blog/articles/new-macro-malware-uses-fake-google-enterprise-support-email


    《1》 イメージ画像にボカシをかけてます?

    画像データの領域に ”ボカシ” がかかっていて内容が読み取れず、この状態を解除するためと称してマクロを許可するよう誘ってます。

    イメージ 2
    THIS DOCUMENT HAS BEEN SET TO BE BLUR DUE TO SECURITY REASON AND FOR YOUR SAFETY KINDLY CLICK OPTION/ENABLE CONTENT ABOVE TO VIEW PROPER DOCUMENT
    (意味 → この文書は安全を目的としたセキュリティ上の理由でボカシをかけました 文書を正常に表示するには上部の[コンテンツの有効化]オプションをクリックしてください)

    《2》 文字化けを解消します?

    文章がメチャクチャな文字列で表示されており記載内容が分からず、この ”文字化け現象” を解消するためと称してマクロを許可するよう誘ってます。

    イメージ 3
    If you document have incorrect encoding - enable macro
    (意味 → 文書を正常にエンコードするにはマクロを有効化してください)
    イメージ 8
    RSA Encrypted Message
    This file is secured with RSA key. Please enable content to view the document
    (意味 → RSA暗号化メッセージ このファイルはRSA鍵で保護されてます。文書を表示するにはコンテンツを有効化してください)

    《3》 文書が保護されてます?

    セキュリティ上の理由で ”保護された文書” になっており、この状態を解除する方法と称してマクロを有効化させる手順が書かれてあります。

    イメージ 6

    イメージ 11

    イメージ 10

    イメージ 13

    イメージ 9
    This Document is protected!
    PROTECTED DOCUMENT
    This file is protected by Microsoft Office.
    Please enable Editing and Content to see this document.
    CAN'T VIEW THE DOCUMENT? FOLLOW THE STEPS BELLOW.
    1. Open the document in Microsoft Office. Previwing online does not work for protected documents.
    2. If you downloaded this document from email, please click "Enable Editing" from the yellow bar above.
    3. Once you have enabled editing, please click "Enable Content" on the yellow bar above.
    This document created in ealier version of Microsoft Office Word
    To view this content, please click Enable editing at the top yellow bar, and then click Enable content
    保護された文書
    このファイルはMicrosoft Officeにより保護されてます。この文書を参照するには編集とコンテンツを有効化してください。
    文章が表示されない? 以下の手順に従ってください
    1. Microsoft Officeで文書を開いてください。オンライン上のプレビュー表示では保護された文書が機能しません。
    2. メールからこの文書をダウンロードしたら、上の黄色いバーにある[編集を有効にする]をクリックしてください。
    3. 編集を有効にしたら、上の黄色いバーにある[コンテンツの有効化]をクリックしてください。

    ウソの名目でマクロを許可する方法を親切に図入りで解説すると、中には疑うことなく律儀に指示に従う Windows ユーザーさんが確実に存在する、と攻撃者は分かってるようです。

    イメージ 1

    Attention! To view this document, please turn on the Edit mode and Macroses!
    To display the centenst of the document click on Enable Content button.
    (意味 → 注意! この文書を閲覧するには編集モードとマクロを有効化してください。文書の内容を表示するには[コンテンツの有効化]ボタンをクリックします。)

    《4》 エラーが発生しました?

    (ウソの警告メッセージだけど)”エラーが発生した” と称してマクロを許可するよう誘ってます。

    イメージ 5
    Open document
    An error occurred while preparing to display the contents. Please enable macros in order to correctly view the contents of the document.
    (意味 → 文書を開く 内容を表示してる途中でエラーが発生しました。文書の内容を正しく表示するためマクロを有効化してください)

    《5》 言語の壁も関係なし… 日本語も

    特定地域のユーザーを狙ったマクロウイルスの事例として、英語ではなくスペイン語でマクロを許可するよう画像付きで指示してます。

    イメージ 4
    PARA VISUALIZAR EL CONTENIDO ABRELO DIRECTAMENTE DESDE MICROSOFT WORD:
    (意味 → 内容を表示するため以下のように Microsoft Word で直接開いてください)

    マクロウイルスは決して ”対岸の火事” ではありません。 

    日本も含む世界中の Windows をターゲットに、ネットバンキング不正送金ウイルスやトロイの木馬に感染させる攻撃キャンペーンで、英語や日本語の誘導メッセージを含んだマクロウイルスが投入されています。







    マクロウイルス対策で100%感染被害防止

    マクロウイルスの攻撃で ”人の心を操る” 策略にハマると…?

    本来は無効になってるマクロが Windows ユーザーの意思で有効化されてしまうので、攻撃処理は確実に発動します。 セキュリティソフト に頼りきってはダメ!




    そこで、マクロウイルスの攻撃を100%確実に阻止する 無料ウイルス対策 をやっておくのがオススメです。 <お金がかからないウイルス対策♪

    関連するブログ記事

    このエントリーをはてなブックマークに追加

    ↑このページのトップヘ