Emotet対策をヤマハルーターで実施しようとしたら失敗した話(後に解決したけど)

猛威を振るっているEmotetだが、感染した端末は、C2サーバと呼ばれる指令サーバとやりとりをする。そのやりとりの中で、端末内で入手した情報を窃取したり、C2サーバから、他のマルウェアやモジュールをダウンロードする。

なので、C2サーバとの通信を遮断できれば、被害は大幅に防げると考えることができる。

ヤマハルーターのフィルタ機能を使い、C2サーバのIPアドレスとの通信を拒否する設定にすれば、効果があると考えた。

C2サーバのIPアドレスは以下のリンクより入手可能なので、

Feodo Tracker
Feodo Tracker tracks botnet C&Cs associated with Emotet (aka Heodo), Dridex, TrickBot and QakBot

ここからIPアドレスの一覧を入手。リストでは、253個のIPアドレスが掲載されていた。

例えば、

ip filter 700001 reject * 51.178.161.32 * * *

とフィルタの定義をする。これを253個作成して、インターネットと通信している
インターフェイスに適用を試みるとエラーが発生した。

よくよくマニュアルを調べてみると

静的フィルタと動的フィルタの数の合計として RTX3000およびRTX5000、RTX3500 は 300 個以内、他の機種は 128 個以内 ということだった。

設定を試みていた機種はRTX830だったため254個など到底設定できる数ではなかった。

残念!

この話には続編があります。

コメント

タイトルとURLをコピーしました