piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた

2021年1月27日、Europolは国際的な捜査活動を通じ、Emotetが利用するインフラ基盤を捜査官が制御下に置いたことを発表しました。ここでは関連する情報をまとめます。

Emotet テイクダウン

  • 国際的なオペレーションにより2021/1/25週初めにEmotetが接続するサーバーを制御下に置くことに成功。Emotetの感染活動を停止させることに成功したとみられる。
  • Emotetインフラ基盤全体を内部より停止させたとして、現在接続が行われると法執行機関が管理するサーバーにリダイレクトされる。
  • ウクライナ当局が基盤を保守していた関係者2名を逮捕した。他の関係者も特定され拘束する措置が講じられた。

Team Cymruによれば、1月26日頃より顕著な変化が見られたと報告している。

  • ボットネット追跡のシステム(BARS)で見ているEmotetのアクティブなTier 1 C2サーバーが26日から0件となった。
  • Team Cymruはこの結果より、今回のテイクダウンが大成功であったことを示していると評価。
f:id:piyokango:20210128142150p:plain
Team CymruがモニタリングしていたEmotet C2サーバーの死活状況(Team Cymru Blogより)

8か国共同オペレーション「LADYBIRD」

World’s most dangerous malware EMOTET disrupted through global action | Europol


EuropolとEurojustの調整を通じ、8か国の司法機関で連携し共同のテイクダウンオペレーションが行われた。

  • オランダ…国家警察(Politie)、国家検察庁(Landelijk Parket)
  • ドイツ…連邦刑事庁(Bundeskriminalamt)、一般検察庁(Generalstaatsanwaltschaft)
  • フランス...国家警察(Police Nationale)、パリ司法裁判所(Tribunal Judiciaire de Paris)
  • リトアニア...リトアニア刑事警察局(Lietuvoskriminalinėspolicijosbiuras)、リトアニア検察庁
  • カナダ...王立カナダ騎馬警察
  • アメリカ...FBI、米司法省、ノースカロライナ州中部地区連邦検事局
  • 英国...英国家犯罪対策庁、検察局
  • ウクライナ...ウクライナ国家警察(НаціональнаполіціяУкраїни)、ウクライナ検察庁(ОфісГенеральногопрокурора)

オペレーション名は「LADYBIRD」と呼称されており、オランダ当局の発表ではマークも掲示されていた。

f:id:piyokango:20210128085748p:plain
当局が掲示していたオペレーションのマーク(オランダ国家警察サイトより)

各国当局の発表

オランダ(2019年7月より捜査開始)

Internationale politieoperatie LadyBird: wereldwijd botnet Emotet ontmanteld

  • Emotetの3つの主要サーバーの内2つがオランダ国内に存在していた。
  • Emotetに感染した端末が100万台を超えること。
  • パスワードがセットになったメールアドレス約60万件が確認された。
  • 一連の犯行にどの程度の人数が係っているかはまだ正確には把握されていないが、組織化され臨機応変に対応を可能としていることが明らかになっている。
  • ハッキングにより、Emotetのインフラに侵入し調査を行ったことを明らかにしている。
  • 調査した複数のサーバーでバックアップファイルが確認されている。
ドイツ(2018年8月より捜査開始)

In­fra­struk­tur der Emo­tet-Schad­soft­wa­re zer­schla­gen

  • Emotetによる被害が少なくみて1450万ユーロとみられる。
  • 2021年1月26日にテイクダウンの措置が講じられた。ドイツでは17台のサーバーが押収。オランダ、リトアニア、ウクライナでもサーバーが押収されている。
  • 攻撃者による制御復帰を妨げるため被害端末上のマルウェアは隔離状態に移され、証拠収集用のサーバーにのみ通信を行うよう、設定変更が行われた。
  • 当局よりISP事業者へ影響を受けたIPアドレスを提供。ISPを通じ対象者に案内が行われる。
ウクライナ

Кіберполіція викрила транснаціональне угруповання хакерів у розповсюдженні найнебезпечнішого в світі комп’ютерного вірусу «EMOTET»
ウクライナ国家警察の発表によると、同国の市民2名が特定、検挙されている。

  • Emotetによる海外の金融機関などへの被害は25億ドルとみられる。
  • 2名はマルウェア拡散のインフラ基盤の保守(適切な機能の確保、円滑な運用維持)を行っていたとされる。
  • 摘発された2名は不正アクセスやマルウェアの作成、詐欺などにより最大12年の懲役刑となる可能性がある。
  • Emotetを使用しサイバー攻撃を行った他のグループも特定され、拘留の措置が講じられている。
  • 当局によりサーバーとみられる機器類の設置先の捜索や男らが検挙されるシーンがYoutubeで公開されている。

www.youtube.com

Krebs氏は未確認情報としつつ、ある情報筋よりドイツでも逮捕者が出ているとツイートしている。

米国(2017年より捜査開始)

Emotet Botnet Disrupted in International Cyber Operation

  • Emotetの被害事例としてノースカロライナ州中部地区学区のPC感染を取り上げ。約2週間システムが停止し、140万ドルの被害が生じた。
  • 海外の法執行機関とともに合法的にEmotetのサーバーへ接続。
  • 2020年4月1日~2021年1月17日までに約160万台のPCのIPを特定。内、4万5千台が米国に設置されたもの。
  • 管轄区域にあるサーバー上のEmotet自体を法執行機関が作成したソフトウェアに置き換えを行った。この措置によりEmotetの攻撃者による更なる通信を防ぐとともに、ボットネットからの切り離しにより更なるマルウェア感染を防止するよう設計された。
  • 特定された配布サーバーの多くは侵害されたWebサーバーだった。
  • FBIは米国拠点の20以上のホスティングプロバイダへ侵害されたEmotet関連の45IPアドレスを通知。また50か国以上に数百のIPアドレスを通知。
カナダ(2020年3月より捜査開始)

The RCMP takes part in an international operation to neutralize Emotet

  • カナダ国内にはEmotetのコントロールサーバーが13台存在。
  • 感染端末はカナダ国内に6000台確認され、226か国で170万台以上の感染が報告されている。

自動停止コードを含むコンポーネントを配信

  • オランダ当局は更新プログラムが同国内の主要サーバーに配置されていることに着目。
  • 感染端末は自動的にプログラム更新した後、Emotet感染が隔離されるよう当局が仕込みを行った。
  • milkream氏が解析した検体には当局が発表している通りEmotetを除去(隔離)するコードが含まれるという。*1

  • 同氏が確認した検体の通信先は次のドイツの8つのIPアドレス。

80.158.3[.]161:443
80.158.51[.]209:8080
80.158.35[.]51:80
80.158.63[.]78:443
80.158.53[.]167:80
80.158.62[.]194:443
80.158.59[.]174:8080
80.158.43[.]136:80

  • モジュール置き換えは米司法省発表等でも言及されており、Beeping comupterが行ったEuropolへの取材によるとドイツ連邦刑事庁により開発が行われたとみられる。*2

法執行機関が作成したプログラムに対して、MalwareByteLabが解析報告を行っている。
Cleaning up after Emotet: the law enforcement file

  • プログラムは32bit DLL EmotetLoader.dll。3つのエクスポートがあるがいずれも同じ機能。
  • このプログラムには感染端末のクリーンナップの他、起点となる日付より前に行われる代替の実行パスが含まれている。
  • クリーンナップは期限が過ぎている場合は即時に実行される。アンインストールはEmotetが永続性を確保するために行っているサービスと実行キーへの削除が行われその後プロセスも終了する。
  • 期限日前は法執行機関が所有するシンクホールサーバーに接続を行う代替の実行パスが行われる。

押収データを元に影響確認できるサイト立ち上げ

オランダ当局はEmotetの影響を受けているか確認するサイトを立ち上げている。
Controleer of uw e-mail en wachtwoord gestolen zijn door de Emotet malware | politie.nl

  • メールアドレスを入力し、数分以内に当局を発信元とするメールが届いた場合影響を受けている可能性がある。(影響を受けない場合、メール送信は行われない。)
  • 当局が押収したログイン資格情報を元に確認を行うもの。押収されたデータにはメールアドレス、ユーザー名、パスワードが含まれている。
  • 個人単位でのチェックが対象。ドメイン一括で確認する方法は現時点では同サイト上では提供されていないとみられる。
  • 押収されたデータに含まれるかを確認するもので、Emotetに感染しているかを直接確認できるものではない。またEmotet以外のマルウェアの感染有無を把握することもできない。
f:id:piyokango:20210128064332p:plain
オランダ当局が用意した影響確認サイト

国内感染者を特定し注意喚起へ

マルウェアに感染している機器の利用者に対する注意喚起の実施(総務省)
マルウェアに感染している機器の利用者に対する注意喚起の実施について(警察庁)
マルウェアに感染している機器の利用者に対する注意喚起の実施(ICT-ISAC)

  • 警察庁や総務省はEmotet感染端末が国内に複数存在するとして、利用者に対し注意喚起を行うと発表。
  • IPアドレスベースで約2万6千件の感染確認をしたとする情報が海外の捜査当局より2021年2月までに警察庁に対し情報提供が行われていた。*3
  • 注意喚起は警察庁、総務省、ICT-ISAC、ISP各社の連携で行われる。提供された情報に基づきその機器の利用者をISPにて特定しメールなどで注意を行う。

更新履歴

  • 2021年1月28日 PM 新規作成
  • 2021年1月30日 AM 続報追記(米司法省やMalwareBytesLabの解析など)
  • 2021年2月19日 PM 続報追記(国内感染端末利用者への注意喚起)

*1:起動日が2021年3月25日12時とされているが、実際には0からカウントされるため4月25日12時が正しい。MSの説明ページにも「m_mon 月(0-11; 1月= 0)」との記述がある。]

*2:Europol: Emotet malware will uninstall itself on April 25th,Bleeping Comupter,2021年1月27日

*3:国内PC2万6千件、「エモテット」感染か 注意喚起,朝日新聞,2021年2月18日