感染にバレずに潜伏する「Emdivi」

Emdivi(エムディビ)遠隔操作マルウエアが脅威をふるっている。
感染手法は、偽装されたファイルを受信者が開いてウイルス感染による侵入→C&Cサーバー(Command and Control server)によってデータ破壊や盗難

 

C&Cサーバーとは、マルウエア(ウイルス)に感染したコンピュータ・サーバ(=ボット)群(=ボットネット)にハーダー(Herder)と呼ばれるボット管理者(攻撃者)から指示(command)を送り制御(control)を行うメインコントローラーとなるサーバーを指す。つまり、このC&Cサーバーを特定させ、停止させることができれば、攻撃を止めることができる。

(参考)ボットネットの概要(JPCERT/CC)

 

攻撃者(ハーダー)がボットネットに指示する方法として一般的には、IRC(Internet Relay Chat)を利用するケースが高い。通常、IRCを使用するポート番号は、6667番を利用する傾向が高い。ただ、6667番なんて、ファイアウォール(FW)でよくわからないポートは閉じよ、というルールから、普通は閉じている。であれば、必ずといっていいほど開いている、80番ポートを利用したWeb版IRCを利用し、Web通信にみせかけるIRCサーバ(ボット)が、増加傾向にある。80ポートを閉じれば、ホームページ閲覧ができなくなるので、通常は閉じないポートだ。

 

年金機構の情報流出も、早稲田大学の情報流出も、いずれも、このEmdiviによる影響だ。参考になりそうなサイトをピックアップしたい。

(参考サイト)
水面下で侵攻するサイバースパイ活動急増に関する注意喚起(Lac)
年金機構事件で発覚–感染に気付かれず潜伏する「Emdivi」の恐ろしさ(ZDnet)
年金機構を狙ったマルウェア「Emdivi」、具体的な攻撃手法は – パロアルト(マイナビ)
Backdoor.Emdivi(hackermedicine)
標的型攻撃対策が困難に ファイアウォールやSIEMを逃れる手口も(ITmedia)
医療費通知の偽装メールについてまとめてみた(piyolog)
Emdiviを使う攻撃者の素性(マクニカネットワークス)
┗タグ:標的型攻撃