Emotetは、機密性の高い銀行情報を盗むために設計されたトロイの木馬です。最近、Trickbot, Qbot, Bitpaymerなどの他のマルウェアを配布したりダウンロードしたりするEmotetの亜種が観測されるようになりました。
Emotet のダウンローダは、主にEメール添付ファイルとして出回ります。Emotetは、JavaScriptやマクロを有効にしたOfficeドキュメントを使用して、最終的なペイロードをダウンロードします。
Emotet ダウンローダ ドキュメント・ファイル[MD5:1ab9509554f9bde58ad4d904cc537406]:
ドキュメントファイルでマクロを有効にすると、悪意のあるVBAがWMIを用いてpowershellを実行し、Emotetの実行可能ファイルをダウンロードし、実行します。
難読化マクロ:
エンコードされたpowershellスクリプトと、フォーム内のTextboxに格納されているその他の必須文字列:
Powershellは、次のいずれかのURLからEmotet実行ファイル(MD5:d6d854843f039d5266bda53ef6176d2)をダウンロードしようとします。
Emotet(805.exe)実行ファイルのPowershellダウンロードと実行:
Powershellは、Emotet実行ファイルを%userprofile%ディレクトリに「805.exe」という名前でダウンロードし、起動します。
Emotetマルウェアの動作:
最初に実行されたEmotetプロセスは、引数"--<custom_hash_value_of_file_path>"(例:--97159285)を追加して、子プロセスとして自身の別のインスタンスを起動します。
2つ目のプロセス("805.exe")は、自身を"System32"(32Bit OS:C:\Windows\System32,64Bit OS:C:\Windows\SysWOW64)ディレクトリにコピーします。その際、ファイル名を以下の文字列群から2つの文字列の組み合わせたものにします。
「System32」ディレクトリ(例:titlebuulk.exe)にコピーされたファイルは、「805.exe」プロセスの2番目のインスタンスによってサービスとして登録され、services.exeによってサービスが開始されます。
サービスプロセス"titlebulk.exe"も、引数"--<custom_hash_value_of_file_path>"(例:--5e000ca00)を追加して、子プロセスとして自身の別のインスタンスを起動します。
ルートドライブのボリュームシリアル番号を用いて2つのMUTEXを作成します。
Global\\I<ボリュームシリアル番号>
Global\\M<ボリュームシリアル番号>
例:
Global\\I14028B12
Global\\M14028B12
ルートドライブのボリュームシリアル番号でイベントを作成します。
Global\\E<ボリュームシリアル番号>
例:
Global\\E14028B12
ネットワークアクティビティ:
Emotetは、いくつかのシステム情報を収集し、CnCサーバに送信します。Emotetは、RSA公開鍵を使用してデータを暗号化し、base64変換後にCnCサーバに送信します。データには、システム名、ルートドライブのボリュームシリアル番号、マルウェアファイルのCRC32ハッシュ値、およびシステムで実行されているプロセスのリストなどが含まれます。
暗号化前のデータ:
アンパックされたEmotet実行ファイルで見つかったエンコードされたRSAキー:
デコードされたRSAキー:
HTTP POSTリクエスト:
URIパスの構築に使用される文字列:
Emotetは、次のCnCサーバに接続します。
現在、上記のCnCサーバはいずれもアクティブではないため、Emotetマルウェアは上記のサーバとの通信は行えていません。
関連リンク