멀버타이징(Malvertising)을 통해 유포되는 Magniber 랜섬웨어의 최근 유포방식에서 사용자 시스템에 랜섬웨어 파일을 생성할때 Alternate Data Stream(ADS)를 활용한 파일 은폐 기법이 사용되었다. 멀버타이징(Malvertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염 시키는 방법이다.

[그림 1], [그림 2]는 각각 암/복호화된 유포 스크립트를 나타낸다. [그림 2]의 복호화된 Magniber 유포 스크립트를 보면, %temp% 경로에 생성하는 파일명이 “wa0flL0Y: wa0flL0Y” 임을 확인할 수 있다.

[그림 1] 난독화된 Magniber 랜섬웨어 유포 스크립트

(샘플 MD5 : 6f4753b9629eecebbf15d1afe9ea4bb5)


[그림 2] 복호화된 Magniber 랜섬웨어 유포 스크립트


해당 기법을 통해 로컬에 저장된 파일은 디렉터리에서 확인하면 [그림 3]과 같이 파일의 크기가 0byte 로 보여진다하지만 [그림 4]와 같이 커맨드 명령(dir /r)을 통해 해당 경로를 확인해 보면 “wa0flL0Y: wa0flL0Y” 라는 이름의 Alternate Data Stream(ADS)에 실제 랜섬웨어 파일이 쓰여진다.


[그림 3] temp 폴더에 생성된 파일


[그림 4] 커맨드 명령을 통해 확인한 실제 폴더구조


Alternate Data Stream(ADS) 에 쓰인 실제 랜섬웨어 파일은  [그림 2]의 복호화된 유포 스크립트의 마지막 줄의 실행문에 의해 실행되며, [표 1]의 WMIC 쿼리를 통해 실행한다.

windows xp 이후, ADS에 생성된 파일은 "start [파일명]" 과 같은 커맨드 명령으로는 실행되지 않지만 WMIC 쿼리를 통하면 windows 7 환경에서도 ADS에 생성된 파일이 실행 가능함을 확인하였다.

WMIC process call create "%temp%\\wa0f1LoY:wa0f1LoY 

[표 1] 실행되는 WMIC 쿼리


현재 V3에서는 Alternate Data Stream(ADS)에 쓰여지는 파일이 수동, 실시간 모두 진단이 가능하며다음의 진단명으로 진단하고 있다.

- 파일 진단 : Trojan/Win32.Magniber

(엔진 반영 버전 : 2018.02.07.01)

- 행위 진단 : Malware/MDP.Ransome.M1171

(엔진 반영 버전 : 2016.12.03.01)


Posted by 분석팀