今回はJPCERTコーディネーションセンターが公開しているEmoCheckを使用してみたいと思います。
EmotetというウイルスにPCが感染されていないかをチェックするツールになります。(結構そのままの名前ですね・・・)
興味がある方は見て行っていただければと思います。
Emotetについて
IPAからの情報を以下に記載します。
感染の手法として、正規メールアドレスが使われている場合があるとのことです。攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです。
実際にやり取りがあったメールアドレスから本文も流用してくるそうなので、感染してしまう可能性が非常に高いです。
実際に日本でも以下のように大企業が被害に遭いニュースになったりしています。
・従業員PCがマルウェア「Emotet」に感染 – 関西電力
取引先の企業であれば誤って開封してしまい、感染する可能性は非常に高いですね。
上記、世界各国で猛威を振るっているEmotetですが、JPCERTから無償でしようできるチェックツールが公開されました。
・JPCERT/CC、「Emotet」感染チェックツール「EmoCheck」を公開
githubで公開されているので、私自身のPCが感染していないかを確認することも含め使ってみます!
EmoCheckのダウンロード
まずはGitHubのEmoCheckのページに行ってツールをダウンロードしてきます。
ここからダウンロードの画面に行けます。以下のように表示されるかと思います。
ページの真ん中まで行くとダウンロードリンクがあります。
自分のPCの要件に合わせたものをダウンロードしてください。(ソースコードもあるので解析したい方はぜひ!)
ちなみに私は64BitのWindowsを使用しているので、「emocheck_x64.exe」をダウンロードします。
まずは念のため、ハッシュ値の確認を行います。
PowerShellを開いて、ファイルのディレクトリまで移動し(別に移動しなくてもファイルを直接参照できればいい)「 Get-FileHash -Algorithm SHA256 .\emocheck_x64.exe」と入力します。
すると、以下のようにSHA256のハッシュ値が表示されます。(画像の赤枠のところがハッシュ値になります。)
上記とダウンロードしたページに乗っているハッシュ値を比較して、同じであればこれはちゃんとしたファイルであることがわかります。
MD5の値も記載してありますが、SHA256で同値が取れたので実施はしません。
次に実際にチェックしてみましょう。
EmoCheckによる調査
では実際に動かしてみましょう。
先ほどと同じディレクトリで「.\emocheck_x64.exe」と入力すると動作します。
以下が実際に動かした際の画面です。
一瞬で終わりました。検出はされていないようです。
注:もしうまく動かない場合は実行する際の権限の問題だと思いますので、組織内であれば管理者の方に相談してみてください。
出力されたテキストには以下のようになっていました。
[Emocheck v0.0.1] プログラム実行時刻: 2020-02-07 16:57:11 ____________________________________________________ [結果] 検知しませんでした。
ものすごくあっさりしていますね。(v0.0.1ということもあるのでしょうか・・・)
所管
今回EmoCheckを使って自分のPCがEmotetに感染していないかを調査しました。
使用感的には軽くていいと思いましたが、これですべて対応できるわけではないので、注意が必要ですね。
ソースコードも公開されているので、これを回避する新たなEmotetが出てきてもおかしくないですし。(鼬ごっこなんですね。)
また、このツールはパターンマッチングによって検地をしていると思うので、振る舞い検地を行うウイルス対策ソフトは導入をしておいた方がいいですね。
私の家のPCは以下のカスペルスキーを使用しています。(あんまりみんなから指示されていないですが・・・)
興味がある方は自分のPCをチェックしてみてはいかがでしょうか?
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント