第7回：自治体の強靭化対策とOPSWAT MetaDefender(Excel 4.0 マクロとEmotet)

2022-03-15Team NOPSWATマーケティング

Tech_セキュリティ OPSWAT サイバーセキュリティ無害化 MetaDefender セキュリティエンドポイントセキュリティ

みなさん、こんにちは！Team OPSWATです。

今年は例年に比べて暖かい日が多く桜の開花が早いとのことで、気が早い話ではありますがお花見散歩ができるようになることを今か今かと楽しみにしています。

今回は連載ブログの第3回で取り扱った「自治体の強靭化対策とOPSWAT MetaDefender」の追記編という形で「Excel 4.0 マクロとEmotet」について取り上げたいと思います。

【第3回ブログリンク】

第3回：自治体の強靭化対策とOPSWAT MetaDefender ネットワンパートナーズ株式会社ブログサイト

「Excel 4.0 マクロ」の駆け込み確認が突然に。。。。

自治体市場の特性で2月後半から2022年度の入札準備や対応に追われていた先週末のこと、夕方になって突然問い合わせが入ってきました。

「OPSWAT MetaDefender CoreではExcel 4.0 マクロに無害化処理に対応していますか？」

OPSWAT MetaDefender Coreの無害化対応ファイル拡張子数は120種類と豊富なので、いつもの拡張子適合仕様の確認かな、と思い精査確認をしようとしたところ。。。。OPSWAT MetaDefenderを導入いただいているITパートナー様から同様の確認が立て続けにメールボックスに飛び込んできていて「なんじゃ、こりゃ！？」と驚きました。

【OPSWAT MetaDefender Core(Deep CDR)ファイル拡張子一覧】

https://docs.opswat.com/mdcore/deep-cdr/supported-file-types https://docs.opswat.com/mdcore/deep-cdr/supported-file-types

問い合わせ急増の背景は「Excel 4.0 マクロ」に仕込まれた「Emotet」だった！。。。ぽい。

同日に立て続けに同じ確認が入ることはまれなので、何が起こったのだろう？と確認依頼元のITパートナー様にそれぞれ状況を伺ってみると、どうも以下のような背景があることがわかってきました。

「Excel 4.0 マクロに仕込まれたEmotetで被害にあわれた団体が発生したようだ。」

本年年始から新種のEmotetが猛威を振るっているのは多くの被害報告で明らかですし、サプライチェーン被害によって日本を代表する完成車メーカの生産が停止したインシデントは記憶に新しいところです。

総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年版)」に基づけば、LGWAN系の接続にあたって危険因子の除去及びないことの確認などファイル無害化処理に代表されるセキュリティ対策によって対策されるべきリスクであり、それゆえに自治体強靭化市場の関係者の間で大きな反響があったのだろうと推察しました。実際の被害がインターネット接続系の環境で発生したのか、LGWAN系の環境で発生したのかは私たちもわかりませんが、自治体様からすれば「自分たちの無害化環境は大丈夫か？」、ITパートナー様からすれば「自分たちが導入したファイル無害化製品の対応状況はどうなっているんだ？」と、急ぎの確認照会が急増することは至極もっともなことだと感じました。

でっ、早速OPSWAT MetaDefenderで検証やってみた！

でっ、肝心のOPSWAT社ですが、OPSWAT社としてはすでに2021年7月の時点でExcel 4.0 マクロアタックの攻撃手法は把握しており、以下の通り対応をアナウンスしております。

Excel 4.0 マクロ：古い機能を悪用した新しい攻撃手法 Excel 4.0 マクロは、XLM 4.0 マクロとしても知られ、1992 年に導入された Microsoft Excel の記録・再生機能です。このプログラムコードは、Excel で繰り返し行われる作業を自動化するためのソリューションですが、残念ながら、マルウェア配信のための秘密のバックドアでもあります。 Excel 4.0 マクロは、VBA (Visual Basic for Application) マクロと同様、マルウェアを潜ませるために悪用されることが増えています。脅威アクターは、XML コードを難読化して疑わしいマクロを隠すことができるため、この 30 年前の機能を武器にして、新しい攻撃手法を生み出すことが容易にできます。このような攻撃ベクトルが広がっているのは、Excel 4.0 のマクロが、Excel の中核機能の重要な数式コンポーネントであるためです。これらは、さまざまなビジネスプロセスで使用されているため、無効化または非推奨になる可能性は低いと思われます。このため、マルウェアの作者は、初期のマクロ 4.0 のインシデントと同様、マクロコードを介して悪意のあるペイロードを Excel ファイルに忍び込ませ、電子メールの添付ファイルとして配信します。最初の Excel 4.0 マクロ攻撃 2020 年 2 月中旬にマクロ 4.0 攻撃の第一波が発生して以来 [1]、多くのサイバー犯罪者がこの手法を使っています。これは、数式に悪意のあるコマンドが隠された感染したシートを、Excel の添付ファイルの一部として送信するものです。攻撃者はソーシャルエンジニアリングの手口を使って、標的がファイルを開くよう誘導します。悪意のあるマクロを有効化するために、「編集を有効にする」ボタンをクリックするよう求めてきます。最初の攻撃に続いて、脅威アクターはこの回避技術を活用してさらなる攻撃を繰り返し、2020 年 5 月から 7 月にかけて急増しました[2]。 "Very Hidden" マクロマクロは、難読化により、Excel ファイルに密かに挿入し、隠すことができます。例えば、シートが “Very Hidden” に設定されている場合、Excel の UI からこのシートには簡単にアクセスすることができず、外部ツールを使用しなければ表示することができません。Excel シートに隠されたマクロは、Web クエリを介してトリガーされたり、数式実行時にマルウェアをダウンロードすることができます。脅威アクターはこの抜け道を利用して、ファイルのアップロードや電子メールの添付ファイルを介して悪意のあるペイロードを配信し、システムの脆弱性を悪用して新たな攻撃ベクトルを作成します。 Malware in a hidden Excel sheet この手口は、恐怖につけ込むソーシャルエンジニアリングと組み合わせて、攻撃者がリモートアクセスを取得し、感染したデバイス上でコマンドを実行するために利用されました。2020 年 5 月には、この手法が悪用され、マイクロソフトが COVID-19 フィッシングキャンペーンを警告しました[3]。攻撃者は “WHO COVID-19 SITUATION REPORT” という件名で、ジョン・ホプキンス・センターになりすましたメールを送信しました。添付された Excel ファイルには、リモートアクセスを可能にする管理ツール NetSupport Manager RAT をダウンロードし、実行する悪意のあるマクロが隠されています。悪意のあるファイルアップロードから保護 VBAへの移行 Microsoft は、これらのエクスプロイトを認識して、ユーザーに VBA (Visual Basic for Applications) [4]への移行を奨励しました。VBA と組み合わせた AMSI （Antimalware Scan Interface）は、VBA 内のマクロの動作を詳細に精査し、実行時に疑わしいマクロやその他の悪意のある動作をスキャンすることが可能です。 AMSIとMicrosoft Officeの連携 Microsoft は、AMSI と Office 365 の統合を可能にし、Excel 4.0 マクロのランタイムスキャンを組み込むことで、XLM ベースのマルウェアの検知とブロックを支援しています。 Deep CDR でマクロペイロードとすべてのマルウェアを除去当社の脅威防止テクノロジーは、すべてのファイルに悪意があると考え、ユーザーに届くまでにファイルを無害化し、安全なコンテンツで、再構築し、ユーザビリティを確保します。 OPSWAT Deep CDR が Excel ファイルの回避技術や VBA Stomping maldoc 技術をどのように防止しているか、ご覧ください。さらに、OPSWAT では、複数の独自技術を統合して、マルウェアに対する保護をさらに強化することが可能です。その一つがマルチスキャンで、ユーザーは 30 種類以上のマルウェア対策エンジン（AI/ML、シグネチャ、ヒューリスティックなどを活用）で同時にスキャンすることで、100% に近い検知率を達成することが可能です（当社調査）。ウイルスの平均検知率が、40% ～ 80% の単一の AV エンジンと比較してください。 OPSWAT Deep CDR , マルチスキャン、その他のテクノロジーや、ゼロデイ攻撃や高度な回避型マルウェア等の脅威から組織を保護するための最適なセキュリティソリューションについては、弊社までお気軽にお問い合わせください。参考文献 1 James Haughom, Stefano Ortolani. “Evolution of Excel 4.0 Macro Weaponization.” Lastline. June 2, 2020, https://www.lastline.com/labsblog/evolution-of-excel-4-0-macro-weaponization/. 2 Baibhav Singh. “Evolution of Excel 4.0 Macro Weaponization – Part 2.” VMware. October 14, 2020. https://blogs.vmware.com/networkvirtualization/2020/10/evolution-of-excel-4-0-macro-weaponization-continued.html/. 3 Phil Muncaster. “Microsoft Warns of “Massive” #COVID19 RAT.” Infosecurity Magazine. May 21, 2020, https://www.infosecurity-magazine.com/news/microsoft-warns-of-massive-covid19. 4 “XLM + AMSI: New runtime defense against Excel 4.0 macro malware”. Microsoft. March 3, 2021. XLM + AMSI: New runtime defense against Excel 4.0 macro malware | Microsoft Security Blog. OPSWAT

それならば、ということで急増した問い合わせ対応と合わせて、弊社の製品エンジニアたちが実際にOPSWAT MetaDefender Coreを使ってExcel 4.0 マクロファイルの無害化処理検証を実施いたしました。

検査対象としたサンプルファイルはこれ！

GitHub上で公開されている疑似マルウェア入りのサンプルファイル6つを使ってみました。

excel4-tests/DownloadFile.zip at main 揃 carbonblack/excel4-tests Carbon Black TAU Excel 4 Macro Analysis. Contribute to carbonblack/excel4-tests development by creating an account on GitHub. GitHub

※リンク先のDownloadボタンを押下しない限りはダウンロードされません。

(1)DownloadFile\DownloadFileGithub.xls
(2)DownloadFile\DownloadFileObfuscatedGitHUB.xls
(3)DownloadFile\DownloadFileObfuscatedHidden.xls
(4)DownloadFile\DownloadFileObfuscated.xls
(5)DownloadFile\DownloadFileObfuscatedVeryHidden.xls
(6)DownloadFile\DownloadFile.xls

いずれもファイル内部のExcel 4.0 マクロに疑似脅威ファイルやプログラムが仕込まれています(もちろん疑似検体です)。

でっ、肝心の検査結果は。。。。

結論から申し上げると上記の6つのファイルすべてに対して複数マルウェアエンジンを並列処理で動かすマルチスキャンエンジンはマルウェア検出・ブロックを行うとともに、ファイル内のマクロ無害化処理(除去)を行い安全なファイルへ浄化することができました。

検査結果の一例として(1)DownloadFile\DownloadFileGithub.xlsと(2)DownloadFile\DownloadFileObfuscatedGitHUB.xlsの検査結果を共有させていただきます。いずれのマルチスキャン・ファイル無害化処理も1つ目のスライドがマルチスキャンによるマルウェア判定結果、2つ目のスライドが無害化によるExcel 4.0 マクロ除去のサマリ状況、3つ目のスライドがExcel 4.0 マクロ除去の詳細となっております。

【(1)DownloadFile\DownloadFileGithub.xlsの検査結果】

EXCEL4.0マクロ　無害化

【(2)DownloadFile\DownloadFileObfuscatedGitHUB.xlsの検査結果】

EXCEL4.0マクロ　無害化

まとめ

ポイントとなるのはOPSWAT MetaDefender Coreの無害化処理によるマクロ除去処理もさることながら、マルチスキャンによるブロック処理です。2つのファイルのマルチスキャンの検査結果の通り、(1)のファイルでは8つのエンジンのうち4つのエンジンがマルウェア判定を下していますが、(2)のファイルでは8つのエンジンのうち1つがマルウェア判定を下しています。第2回のブログでも触れた通りこれがまさにマルウェア検査エンジン1社1社の検知性能のばらつきを示しています。

OPSWAT MetaDefenderはこのようにマルウェアに対して高い平均検知率を実現するマルチスキャンエンジンとマルウェア判定されなかったファイルに対する無害化処理を提供することによって安全確実にファイル取り込みを実現するための高度なファイルセキュリティを提供しております。

こちらのブログでは検証結果概要の案内となりますが、詳細な検証結果共有を希望される方は右上のお問い合わせより要望いただければ、私たちTeam NOPSWATから共有させていただきます。

追記：Deep CDR(無害化)エンジンのみの検証結果公開！

本ブログ公開後、「Deep CDRエンジンだけの処理結果も知りたい」というリクエストを複数頂いたのでこちらも検証を行いました(マルチスキャンエンジンとDeep CDRの検証ファイルと同じ内容です)。

結論を申し上げますとマルチスキャンエンジンを使わない場合でもDeep CDRエンジンの方できちんとExcel 4.0 マクロ情報の除去処理が完了しております。

【(3)DownloadFile\DownloadFileObfuscatedHidden.xlsの無害化処理結果】

EXCEL4.0マクロ　無害化