Emotet対策

JPCERT/CCより下記の動画が公開されています。

日本中で感染が広がるマルウェアEmotet
Emotet感染の確認方法と対策

 上記動画(Emotet感染の確認方法と対策)の参考欄に「Feodo Tracker (EmotetのC2サーバを掲載)」が記載されています。その中に最新のC2サーバのIPアドレス(自動更新)がアップロードされています。

Feodo Tracker
Feodo Tracker tracks botnet C&Cs associated with Emotet (aka Heodo), Dridex, TrickBot and QakBot
feodotracker.abuse.ch

「Download Blocklist」をクリック
「Plain-text」をクリック

以下は、実際のURLです。

https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt

この情報によりFortiGate(v6.2.10で確認)で自動ブロックするには、以下の手順で行います。

  1. 「セキュリティファブリック」の「ファブリックコネクタ」で新規作成
  2. 「脅威フィード」で「IPアドレス」を選択
    1. 名前をつける
    2. 外部リソースに上記のURLを設定
    3. HTTPベーシック認証を無効にする
    4. リフレッシュレートは、既定(5分)で変更しない。(推奨値となっています。)
  3. 「ポリシー&オブジェクト」の「IPv4ポリシー」で、宛先に2で作成した宛先(IPアドレス脅威フィード欄に表示される)を指定し通信をブロックする。(ログは取得する)

 上記の設定で、Emotetに感染した場合でもC2サーバとの通信がブロックされるので、システム的に情報漏洩を防御することができます。(当然、保障はありません。自己責任です。)

 

タイトルとURLをコピーしました