ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Emotet 次世代セキュリティ製品の機械学習 マルウェアの検出エンジンの検知回避で危険

Emotet 次世代セキュリティ製品の機械学習 マルウェアの検出エンジンの検知回避で危険のようです。このマルウェア、かなり巧妙で、一度社内に入ると危険です。セキュリティソフトで検知できないのは怖いですね。

 

情報元はこちら。

https://www.security-next.com/120124

 

近年注目されている機械学習ベースのマルウェア対策製品から検知を回避する機能なども備えていたと書かれています。

 

大量の亜種により、定義ファイルベースの製品による検出を逃れる手法は、多くのマルウェアで見られるが、7月以降出回っている「Emotet」ではサンドボックスを利用したゲートウェイ製品や、機械学習により作成されたマルウェアの検出エンジンなど、いわゆる「次世代セキュリティ製品」の検知を回避しようとする機能を備えていた。

ゲートウェイによる検出を避ける手段としては、パスワードを用いないとファイルを開けない暗号化した「zipファイル」を悪用している。

メールに記載されたパスワードを用いてzipファイルを復号し、チェックが行える製品も一部存在しているが、OSの標準機能では復号できない「AES 256ビット」の暗号化を用いることで高度な検出についても回避を試みている。

エンドポイントにおける検出回避の手法も巧妙だ。ハッシュ値の異なる大量の亜種にも対応できるよう、機械学習ベースの検出エンジンを搭載したセキュリティ製品も登場しているが、機械学習の手法を逆手に取り、検出を回避する手法が用いられていた。

 

上記は一部抜粋ですが、機械学習の手法を逆手に取り、検出を回避する手法が用いられていたとあります。

 

 

建設用設備器材の製造している企業でも端末36台がこのマルウェアに感染したという情報があります。

 

感染端末を調べたところ、同社従業員を装ったなりすましメールが送信されていたそうです。

 

このマルウェアを詳しく知りたい方はトレンドマイクロの情報が参考になります。

 

EMOTET 概要から対策まで

https://www.trendmicro.com/ja_jp/business/campaigns/emotet.html

 

遠隔操作が可能なボット型マルウェアで感染すると以下のような事態になります。

 

情報漏えい、スパムメール送信の踏み台化、他のマルウェアの感染、などの被害が発生します
組織のネットワーク内で感染拡大したり、最終的にランサムウェアなどを感染させられたりするケースもあります
日本では特に2019年10月に複数企業が感染を公表、その後も広範囲に被害が広まっています

 

EMOTETの感染経路と手口は、電子メール経由で拡散で特に「返信型」に注意とのことです。