지난 주말 ASEC은 랜섬웨어 유포지 모니터링 작업 중 파일리스 형태의 랜섬웨어가 갠드크랩에서 매그니베르로 바뀐 것을 확인하였다. 411일 이후 매그니베르 랜섬웨어가 재등장한 것은 53일 만이다.

매그니베르 랜섬웨어는 매그니튜드 익스플로잇 킷을 사용하는 것을 확인하였으며, 동작 방식은 [그림 1]과 같다.

 

[그림 1] 파일리스 형태의 매그니베르 랜섬웨어 유포 및 동작 방식

 

현재까지 확인된 인젝션되는 정상 프로세스는 “notepad.exe, hh.exe, help.exe, ctfmon.exe” 이나 계속해서 인젝션 대상은 변화할 것으로 추정된다.

 

[그림 2] 인코딩된 랜딩 페이지

 

[그림 3] 디코딩된 랜딩 페이지의 메인 함수

 

[그림 2]는 매그니튜드 익스플로잇 킷의 랜딩 페이지로써 인코딩된 형태이며, [그림 3]은 인코딩 페이지를 디코딩 및 난독화를 해제한 그림이다. 해당 스크립트는 CVE-2018-8174 취약점을 사용하여 쉘코드를 실행한다.

 

[그림 4] CVE-2018-8174에 의해 실행되는 쉘코드

 

[그림 4]는 취약점 스크립트를 통해 실행되는 쉘코드이다. 쉘코드는 메그니베르 랜섬웨어 DLL을 다운로드 받아 메모리상에서 실행한다. (파일리스 형태)

 

매그니베르 랜섬웨어 주요 변경사항

최근에 유포 중인 매그니베르는 과거에 유포되었던 샘플들과 행위가 유사하지만, 파일 암호화 시 사용되는 키와 벡터값이 가변적이며, 해당 키를 공개키로 암호화 하므로 공격자의 개인 키를 알지 못하면 복구할 수 없다.

 

 

4 8일 유포 샘플

65일 유포 샘플

공통점

감염 PC의 한국어 환경 확인

랜섬노트 및 코인 지불 사이트 스케줄 등록

시스템 복원 기능 삭제

암호화 대상 제외 폴더 동일

AES-128 Key 대칭키 사용 (CBC모드)

생성된 뮤텍스 이름을 파일 암호화 확장자로 사용

차이점

복호화 가능 여부

가능

(복구툴 배포: asec.ahnlab.com/1129)

불가능

(공격자의 공개키로 대칭키 암호화)

[1] 매그니베르 랜섬웨어 주요 기능 비교

 

변경된 암호화 방식

복구가 가능했던 지난 매그니베르 랜섬웨어는 파일 내부에 키값을 하드 코딩된 형태로 저장하고 있었다. 하지만 현재 유포 중인 매그니베르 랜섬웨어는 암호화 대상이 되는 파일마다 키와 벡터값을 모두 난수로 생성하고, 내부에 하드 코딩된 RSA 공개키로 해당 키와 벡터값을 모두 암호화 하므로 복구할 수 없다.

 

[그림 5] 파일 암호화 과정

 

RSA 공개키를 파일 내부에 저장하고 있기 때문에 공개키를 공격자로부터 받아오는 갠드크랩 랜섬웨어와 다르게 매그니베르 랜섬웨어는 네트워크 통신이 없어도 파일 암호화가 가능하다.

 

암호화가 완료된 파일의 모습은 [그림 6]과 같다. 파일 암호화는 이전과 같이 AES-128 (CBC 모드)를 사용하였으며, 파일 크기를 0x100000의 단위로 분리하여 암호화하는 것 역시 동일 하였다. 달라진 점은 암호화 파일 끝에 키와 벡터값을 공격자의 공개키로 암호화하여 저장한다는 것이다.

 

[그림 6] 공격자의 공개키로 암호화된 키와 벡터 (크기 : 0x100)

 

매그니베르 랜섬웨어의 주요 기능

감염 PC의 한국어 환경 확인

이전에 유포되었던 것과 같이 감염 PC의 시스템 언어가 한국어 환경인지 확인 후 동작한다.


[그림 7] 시스템 언어 환경 체크

 

랜섬노트 및 코인 지불 사이트 스케줄 등록

스케줄 등록

schtasks.exe /create /SC MINUTE /MO 15 /tn ******************** /TR "pcalua.exe -a notepad.exe -c C:\Users\Public\README.txt"

 -> 랜섬노트 15분마다 팝업

schtasks.exe /create /SC MINUTE /MO 60 /tn ******************* /TR "pcalua.exe -a http://*******************.liveend.space/2345svcvgxek”

 -> 코인 지불 사이트 60분마다 팝업

[2] 랜섬노트 & 코인 지불 사이트 스케줄 등록

시스템 복원 기능 삭제

HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command’ 레지스트리 값에 ‘cmd.exe /c "%SystemRoot%\system32\wbem\wmic shadowcopy delete"’ 명령어를 등록한 후 WinExec 함수를 통해 pcalua.exe –a eventvwr.exe 명령어를 실행함으로써 관리자 권한으로 시스템 복원 기능을 삭제한다.

 

암호화 대상 제외 폴더 동일

매그니베르 랜섬웨어의 암호화 대상에서 제외되는 폴더 리스트는 [ 3]과 같다.

암호화 제외 폴더 리스트

document and string

appdata

local settings

sample music

sample pictures

sample videos

tor browser

recycle

windows

boot

intel

msocache

perflogs

program files

programdata

recovery

system volume information

winnt

[3] 암호화 제외 폴더 리스트


[그림 8] 코인 지불 사이트

 

[그림 9] 매그니베르 랜섬노트

 

예방방법

Fileless 랜섬웨어를 예방하기 위해서는 확인되지 않은 페이지 접근을 지양하고 주기적인 보안업데이트가 필요하다.

1)     원격 코드 실행 취약점 (CVE-2018-8174) 예방

인터넷 익스플로러 최신 버전 업데이트

-       https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads

 

대응

현재 안랩 제품에서는 Fileless 형태의 랜섬웨어 행위에 대해 다음과 같이 진단하고 있다.

Malware/MDP.Ransom.M1944


Posted by 분석팀