멀버타이징을 통해 유포되는 Magniber 랜섬웨어는 최근 파일 은폐 기법(ADS Data Hiding)을 이용해 파일을 생성한 후 WMI 쿼리를 통해 사용자 시스템에서 실행된다는 사실이 하기 URL의 게시글을 통해 공유되었다.   

Magniber 랜섬웨어 파일 생성 방식의 변화(파일은폐) (URL : http://asec.ahnlab.com/1090)

이어서 금일 수집된 Magniber 랜섬웨어를 유포하는 자바 스크립트에서 ADS 스트림에 생성한 파일을 forfiles.exe를 통해 실행하는 기법이 새롭게 추가되었다.


[그림 1] 난독화된 Magniber 랜섬웨어 유포 스크립트

(샘플 MD5 : b82a0a91130751fdb0e6b535c7e186d3)


[그림 2] 복호화된 Magniber 랜섬웨어 유포 스크립트


[그림 2] 는 금일 접수된 [그림 1]의 난독화된 Magniber 랜섬웨어 유포 스크립트를 복호화한 스크립트이다. [그림 2] 의 빨간색 박스의 실행문이 새롭게 추가되었고, 해당 실행문은 사용자 시스템의 ADS 스트림에 생성된 랜섬웨어 파일을 forfiles.exe를 통해 실행하는 기능이다. 

forfiles.exe 는 Windows 운영체제에서 제공되는 프로그램으로서, 선택적인 파일을 대상으로 커맨드 명령을 수행하게 하는 기능을 가지고 있다. forfiles.exe를 통하면 ADS 스트림에 저장된 파일이 Window 7, Windows 10에서도 실행 가능하였고, 이는 WMI 쿼리가 비활성화된 시스템을 감염하기 위한 목적으로 보인다.


forfiles /p c:\\windows\\system32 /m notepad.exe /c \""+ FilePath + "\"" 

[표 1] Magniber 랜섬웨어를 실행하는 forfiles.exe 커맨드


[표 1]의 커맨드 내용을 보면, forfiles.exe의 명령 반복 횟수를 한 번으로 제한하기 위해 앞단의 명령 인자("/p c:\\windows\\system32 /m notepad.exe)가 사용되었다. 

따라서 이어지는 명령 인자(/c \"" + FilePath + "\"") 가 한 번 실행되며, 공격자는 해당 명령을 통해 forfiles.exe를 단일 파일을 실행하기 위한 목적으로 사용하였다.

  

현재 V3에서는 Alternate Data Stream(ADS)에 쓰여지는 파일이 수동, 실시간 모두 진단이 가능하며, 다음의 진단명으로 진단하고 있다.

- 파일 진단 : Trojan/Win32.Magniber

(엔진 반영 버전 : 2018.02.20.03)

- 행위 진단 : Malware/MDP.Ransome.M1171

(엔진 반영 버전 : 2016.12.03.01)

Posted by 분석팀