弊社取り扱いのセキュリティ製品におけるEmotetマルウェアの検知状況は以下の通りです。
更新情報
2019/12/04 SUMOXの対応状況を追記
2019/12/03 初版公開
ご不明点については、それぞれの製品サポート窓口からお問い合わせください。
製品および弊社に興味がある場合はこちらからお問い合わせください。
Terilogy
-
SUMOX
SumoLogicはCrowndStrikeのThreat Intel feedを利用可能なため、Infobloxと連携されている場合、既知のC&C通信における名前解決の要求に関する履歴の確認が可能です。
Lastline
-
Network traffic analysis 機能
感染端末からのHTTPによるC&C通信を検知可能です。 -
Web Sandbox 機能
HTTPにてダウンロードされるDocなどのOfficeファイルに含まれるダウンローダおよびEmotet本体を検知可能です。 -
Mail Sandbox 機能
パスワードによる保護がされていない場合、DocなどのOfficeファイルに含まれるダウンローダおよびEmotet本体の添付ファイルおよびURLを検知可能です。
Tippingpoint
-
Nシリーズ
-
NXシリーズ
-
Tシリーズ
-
TXシリーズ
下記フィルタは手動で有効化することで感染端末から行われる既知のHTTPによるC&C通信を検知可能です。
34262: HTTP: Worm.Win32.IcedID.A Runtime Detection (Default:Block/Notify)
28409: HTTP: Emotet Checkin Request(Default:Disable)
別途Threat DVオプションの契約が必要ですが、以下のフィルタ番号についても手動で有効化することで感染端末からの既知のHTTPによるC&C通信を検知可能です。
34263: HTTP: Worm.Win32.IcedID.A Runtime Detection (Default:Block/Notify)
CarbonBlack
-
Cb Defense
NG-AV機能:Officeおよびスクリプトに対して適切な制限を行うことで感染防止が可能です。
※具体的なポリシーの内容については弊社サポートへお問い合わせください。
EDR機能:感染時の端末挙動を確認可能です。 -
Cb Response
感染時の端末挙動を確認可能です。 -
Cb Threat Hunter
感染時の端末挙動を確認可能です。
NOZOMI NETWORKS
-
Guardianシリーズ
YaraルールおよびIDSルールを手動定義することでマルウェア本体ならびに既知のC&C通信を検知可能です。
※具体的なポリシーの内容については弊社サポートへお問い合わせください。
Infoblox
-
ActiveTrust Cloud
-
DNS Firewall
既知のドメインを用いたC&C通信についてはC&C通信のブロックが可能です。