マルウェアのEmotetが猛威を振るっています。
2020年末に話題になったマルウェアですが、ここ最近再び、感染報告が多く上がっています。
メールに添付してある、偽装されたzip、pdfやExcel、word等をダウンロード及び
実行することで感染します。
outlookのアドレス帳を盗み、多くのユーザにマルウェアをばら撒きます。
その後、バックドアをPCにしかけ、C&Cサーバから内部探索され、
機密情報の漏洩や、ファイルの破壊や暗号化。さらには、キーロガーなど監視され、広範囲な被害に及びます。
こういった被害を最小限に抑えるため、JPCERT/CCが
エモテットチェッカーをオープンソースとして公開しました。
このエモテットチェッカー(emocheck.exe)を使うと、PCがEmotetに侵害されていないか確認できます。
このemocheck.exeを実行すると
画面にコマンドプロンプトが表示され処理が走ります。
遠隔でPCに走らせる場合には不適です。
理想は、裏側で処理を行い、共有フォルダに結果を保存を行う。
実は、このエモチェッカーは、引数を持たせることで表示させないことができます。
以下に引数の説明があります。
では、EmoCheckを裏側で動かす、共有フォルダに保存する方法を
batやvbsで書いてみましょう。
bat
pushd \\共有フォルダ emocheck_v2.0_x64.exe /json /quiet /output .\result\ popd
vbs
Dim objWShell
Set objWShell = WScript.CreateObject("WScript.Shell")
objWShell.Run """emocheck_v2.0_x64.exe"" /json /quiet /output .\result\",0
三行目の「0」は、WshRUNの引数で、ウィンドウを非表示にしています。
bat、vbsどちらにもある、jsonはjson形式で出力してくれます。
複数端末の結果をまとめて見る場合は、jsonの方が扱いやすいでしょう。
またquietはウィンドウを非表示にする引数です。
outputは、出力先です。指定をしないと実行ファイルと同じ階層に出力されます。
おわりに
上記の方法を使用すれば、ユーザのログオン時に実行といった配信ができます。
無償で利用でき、簡単に検査が可能なのでありがたいですね。
サイトには、管理者権限で実行と書いてありましたが必要か気になります。
一般ユーザがEmotetに感染した場合、
仕込める範囲とチェッカーの権限は同じ範囲なので問題が無いようにも感じます。
このツールを使うことで被害を最小に抑えられますね。
未然に対策ができれば良いのですが、
一番の対策は、個々の情報リテラシを高めることですね。。
Iパスまでは要りませんが、SGの午前問題ぐらいは欲しいところです。
コメント