멀버타이징(Malvertising)을 통해 유포되는 Magniber 랜섬웨어의 최근 유포 방식이 변화하였다. 기존에 유포되던 실행파일(.exe) 형식에서 라이브러리 파일(.dll)로 변화하여 유포되는 정황이 포착되었다. <그림 1>은 Magniber 랜섬웨어 유포에 사용되는 스크립트 원본이다. 해당 스크립트는 Magniber 랜섬웨어를 사용자 시스템에 생성하고 실행하는 역할을 수행한다.


<그림 1. Magniber 랜섬웨어 유포 스크립트 원본>


<그림 2>는 원본의 난독화가 해제된 스크립트이다. 유포 스크립트는 <그림 3>과 같이 %HOMEPATH% 경로에 DLL 형태의 랜섬웨어 파일을 생성한다. 그리고 <그림 2>의 빨간 박스의 실행문에 의해서 WMI 쿼리를 통해 DLL 파일을 실행한다. 

<그림 2. 난독화 해제된 Magniber 랜섬웨어 유포 스크립트>




<그림 3. 유포 스크립트를 통해 생성된 랜섬웨어 파일>


해당 쿼리문은 <표 1>과 같이 rundll32.exe를 이용해 랜섬웨어 DLL파일을 구동시키는 명령문이다. rundll32.exe 의 두 번째 인자인 "c4wrfevre" 는 실행할 export 함수명에 해당한다. 해당 쿼리를 통해 <그림 4>와 같이 사용자 시스템에서 Magniber 랜섬웨어가 실행된다.


rundll32.exe %HOMEPATH%upTO137.i96DS4, c4wrfevre

<표 1. WMI 쿼리를 통해 실행되는 rundll32.exe 명령문>


<그림 4. WMI쿼리를 통해 실행된 rundll32.exe>



현재 V3에서는 Magniber 랜섬웨어를 수동, 실시간 모두 진단이 가능하며, 다음의 진단명으로 진단하고 있다.


- 파일 진단 : Trojan/Win32.Magniber (엔진 반영 버전 : 2018.03.27.01)

- 행위 진단 : Malware/MDP.Execute.M1883

Posted by 분석팀