テリロジー 「半公式」エンジニアブログ(仮)

株式会社テリロジー コンサルティング&ソリューション技術統括部

Emotet (エモテット) マルウェアの検知状況

エンジニア部隊へのお問い合わせはこちらまで


11月末に一般社団法人 JPCERT コーディネーションセンターがマルウェア「Emotet」の国内での感染拡大について注意喚起がありました。実在する組織や人物になりすましたメールに添付された悪性なWord文書ファイルによる感染被害が多数認められているとのこと。

 

参考情報


IPA
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html

 
JPCERT
マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html

 
JPCERT/CC Eyes
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

 

以下、当社サポートポータルより

support.terilogy.com

 

 

弊社取り扱いのセキュリティ製品におけるEmotetマルウェアの検知状況は以下のとおりりです。Emotetにつきましては亜種などが存在しますのでご注意ください。


ご不明点については、それぞれの製品サポート窓口からお問い合わせください。
製品および弊社に興味がある場合はコンタクトフォームからお問い合わせください。

 

Lastline


Network traffic analysis 機能

感染端末からのHTTPによるC&C通信を検知可能です。

Web Sandbox 機能
HTTPにてダウンロードされるDocなどのOfficeファイルに含まれるダウンローダおよびEmotet本体を検知可能です。

Mail Sandbox 機能
パスワードによる保護がされていない場合、DocなどのOfficeファイルに含まれるダウンローダおよびEmotet本体の添付ファイルおよびURLを検知可能です。

 

Tippingpoint

Nシリーズ
NXシリーズ
Tシリーズ
TXシリーズ


下記フィルタは手動で有効化することで感染端末から行われる既知のHTTPによるC&C通信を検知可能です。

28409: HTTP: Emotet Checkin Request(Default:Disable)

別途Threat DVオプションの契約が必要ですが、以下のフィルタ番号についても手動で有効化することで感染端末からの既知のHTTPによるC&C通信を検知可能です。

34262: HTTP: Worm.Win32.IcedID.A Runtime Detection (Default:Block/Notify)
34263: HTTP: Worm.Win32.IcedID.A Runtime Detection (Default:Block/Notify)

 

CarbonBlack

Cb Defense


NG-AV機能:Officeおよびスクリプトに対して適切な制限を行うことで感染防止が可能です。
※具体的なポリシーの内容については弊社サポートへお問い合わせください。

 

EDR機能:感染時の端末挙動を確認可能です。

 

Cb Response


感染時の端末挙動を確認可能です。

 

Cb Threat Hunter


感染時の端末挙動を確認可能です。

 

NOZOMI NETWORKS


Guardianシリーズ


YaraルールおよびIDSルールを手動定義することでマルウェア本体ならびに既知のC&C通信を検知可能です。
※具体的なポリシーの内容については弊社サポートへお問い合わせください。

 

Infoblox


ActiveTrust Cloud
DNS Firewall


既知のドメインを用いたC&C通信についてはC&C通信のブロックが可能です。

 

sumox

 

SumoLogicはCrowndStrikeのThreat Intel feedを利用可能なため、Infobloxと連携されていれば名前解決の要求に関する履歴の確認が可能です。

 

 

 

terilogy-tech.hatenablog.com

 

 

terilogy-tech.hatenablog.com

 

 

terilogy-tech.hatenablog.com

 

 

terilogy-tech.hatenablog.com

 

 

以上

 

お問い合わせはこちらまで
エンジニア部隊に直接つながります
コンタクト