HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2020年 ≫ 2020年8月 ≫ 変化するマルウェアEmotet

変化するマルウェアEmotet

2019年10月から猛威を振るったEmotetが、再びメールを介した感染活動を始めたことをJPCERTコーディネーションセンターが発表しています。

今回のEmotetも以前のように、メール本文中のリンクもしくは添付ファイルから感染します。添付ファイルまたはリンクからダウンロードされたファイルのマクロを有効化すると、Emotet の感染に繋がります。
以下の画像は、JPCERTコーディネーションセンターが公開したEmotet の感染に繋がる文書ファイルの例です。

Emotet の感染に繋がる文書ファイルの例

(引用： Emotet の感染に繋がる文書ファイルの例　JPCERTコーディネーションセンター）

ＦＦＲＩセキュリティでは、最近のEmotetについても検知・防御を確認しており、具体的な検証環境とハッシュ値を公表しています。なお、検知・防御は2018年2月リリースのエンジンで防御可能であったことを確認しています。

【ハッシュ値(SHA-256)】
・454d3f0170a0aa750253d4bf697f9fa21b8d93c8ca6625c935b30e4b18835374
【検知エンジン】
HIPSエンジン
■検証環境
Windows10 × FFRI yarai 3.1.0 (2018年2月リリース)

→FFRI yarai マルウェア検出速報一覧

ＦＦＲＩセキュリティにおいて、Emotetは2018年10月11日のＦＦＲＩセキュリティ Blogで初めて紹介しています。

「Emotet」マルウェア vs. FFRI yarai

以降、2019年10月に攻撃手法を変えたEmotetがパターンマッチング技術での検知が困難であったことを確認して、紹介しています。

【追加更新】マルウェア「Emotet」について

引き続きマルウェア「Emotet」の情報です

FFRI yaraiは、「先読み防御」技術を搭載した５つの防御エンジンで、検査対象のプログラムを多角的なアプローチで分析し、未知のマルウェアや脆弱性攻撃を高精度で防御します。
また、FFRI yaraiはEDR機能を追加費用不要な標準機能として搭載しています。シンプルな機能のため、ユーザーは高額なマネージドサービスを利用することなく、自組織でEDRの運用が可能です。さらに、Windows 10の標準機能であるWindows Defenderウイルス対策との連携機能も搭載しており、マルウェアからの多層防御を実現します。

次世代エンドポイントセキュリティFFRI yarai

2020-08-04