Emotet (エモテット) マルウェアの検知状況

 2019.12.04  株式会社テリロジー 技術統括部

11月末に一般社団法人 JPCERT コーディネーションセンターがマルウェア「Emotet」の国内での感染拡大について注意喚起がありました。実在する組織や人物になりすましたメールに添付された悪性なWord文書ファイルによる感染被害が多数認められているとのこと。

参考情報

IPA

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html

JPCERT

マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html

JPCERT/CC Eyes

マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

以下、当社サポートポータルより
support.terilogy.com

弊社取り扱いのセキュリティ製品におけるEmotetマルウェアの検知状況は以下のとおりりです。Emotetにつきましては亜種などが存在しますのでご注意ください。


ご不明点については、それぞれの製品サポート窓口からお問い合わせください。
製品および弊社に興味がある場合はコンタクトフォームからお問い合わせください。

Lastline


Network traffic analysis 機能

感染端末からのHTTPによるC&C通信を検知可能です。

Web Sandbox 機能
HTTPにてダウンロードされるDocなどのOfficeファイルに含まれるダウンローダおよびEmotet本体を検知可能です。

Mail Sandbox 機能
パスワードによる保護がされていない場合、DocなどのOfficeファイルに含まれるダウンローダおよびEmotet本体の添付ファイルおよびURLを検知可能です。

Tippingpoint

Nシリーズ
NXシリーズ
Tシリーズ
TXシリーズ


下記フィルタは手動で有効化することで感染端末から行われる既知のHTTPによるC&C通信を検知可能です。

28409: HTTP: Emotet Checkin Request(Default:Disable)

別途Threat DVオプションの契約が必要ですが、以下のフィルタ番号についても手動で有効化することで感染端末からの既知のHTTPによるC&C通信を検知可能です。

34262: HTTP: Worm.Win32.IcedID.A Runtime Detection (Default:Block/Notify)
34263: HTTP: Worm.Win32.IcedID.A Runtime Detection (Default:Block/Notify)

CarbonBlack

Cb Defense


NG-AV機能:Officeおよびスクリプトに対して適切な制限を行うことで感染防止が可能です。
※具体的なポリシーの内容については弊社サポートへお問い合わせください。

EDR機能:感染時の端末挙動を確認可能です。

Cb Response

感染時の端末挙動を確認可能です。

Cb Threat Hunter

感染時の端末挙動を確認可能です。

NOZOMI NETWORKS

Guardianシリーズ

YaraルールおよびIDSルールを手動定義することでマルウェア本体ならびに既知のC&C通信を検知可能です。
※具体的なポリシーの内容については弊社サポートへお問い合わせください。

Infoblox


ActiveTrust Cloud
DNS Firewall

既知のドメインを用いたC&C通信についてはC&C通信のブロックが可能です。

sumox

SumoLogicはCrowndStrikeのThreat Intel feedを利用可能なため、Infobloxと連携されていれば名前解決の要求に関する履歴の確認が可能です。

以上


RECENT POST「技術情報」の最新記事


技術情報

OCVS・Horizon構築してみた②

技術情報

Sumologicで目にするOpen Telemetry Collectorとは(中編)

技術情報

Sumo Logic アカウントを持っていないユーザへのダッシュボードの共有方法は?

技術情報

Sumo Logic ダッシュボードやフォルダ共有について

Emotet (エモテット) マルウェアの検知状況