猛威を振るっているEmotetだが、感染した端末は、C2サーバと呼ばれる指令サーバとやりとりをする。そのやりとりの中で、端末内で入手した情報を窃取したり、C2サーバから、他のマルウェアやモジュールをダウンロードする。
なので、C2サーバとの通信を遮断できれば、被害は大幅に防げると考えることができる。
ヤマハルーターのフィルタ機能を使い、C2サーバのIPアドレスとの通信を拒否する設定にすれば、効果があると考えた。
C2サーバのIPアドレスは以下のリンクより入手可能なので、
Feodo Tracker
Feodo Tracker tracks botnet C&Cs associated with Emotet (aka Heodo), Dridex, TrickBot and QakBot
feodotracker.abuse.ch
ここからIPアドレスの一覧を入手。リストでは、253個のIPアドレスが掲載されていた。
例えば、
ip filter 700001 reject * 51.178.161.32 * * *
とフィルタの定義をする。これを253個作成して、インターネットと通信している
インターフェイスに適用を試みるとエラーが発生した。
よくよくマニュアルを調べてみると
静的フィルタと動的フィルタの数の合計として RTX3000およびRTX5000、RTX3500 は 300 個以内、他の機種は 128 個以内 ということだった。
設定を試みていた機種はRTX830だったため254個など到底設定できる数ではなかった。
残念!
この話には続編があります。
コメント