지난 주말(6월 9일) ASEC은 랜섬웨어 유포지 모니터링 작업 중 파일리스 형태의 매그니베르 랜섬웨어의 인젝션 대상이  변경된 것을 확인하였다. 

매그니베르 랜섬웨어는 이전에 확인된 것 처럼 매그니튜드 익스플로잇 킷을 사용하고 있으며, CVE-2018-8174 취약점을 사용하여 쉘코드를 실행한다.

실행된 쉘 코드에 의해 매그니베르 랜섬웨어가 동작하면, [그림 1]처럼 실행중인 프로세스 목록 중 [표 1]의 권한이 있는 대상에 인젝션을 수행 한다. 

이와 같은 방식으로 시스템의 실행중인 프로세스에 따라 다른 프로세스에 인젝션이 되어 암호화 행위를 수행 한다. (기존에는 IE 프로세스 하위에 새로운 프로세스를 실행하여 인젝션하는 구조 임)




[그림 1] 인젝션 대상 검색


 값

 의미 

 PROCESS_CREATE_THREAD (0x0002)

 Required to create a thread.

 PROCESS_VM_OPERATION (0x0008)

 Required to perform an operation on the address space of a process (see VirtualProtectEx and WriteProcessMemory).

 PROCESS_VM_READ (0x0010)

 Required to read memory in a process using ReadProcessMemory.

 PROCESS_VM_WRITE (0x0020)

 Required to write to memory in a process using WriteProcessMemory.

 PROCESS_QUERY_INFORMATION (0x0400)

 Required to retrieve certain information about a process, such as its token, exit code, and priority class (see OpenProcessToken).


[표 1] 권한 확인 값 (출처 : MSDN)


현재(6월 11일)는 인젝션 대상이 "verclsid.exe" 로 다시 변경되어 유포 중에 있으며, 인젝션 대상은 지속적으로 변화할 것으로 추정된다.


예방방법

Fileless 랜섬웨어를 예방하기 위해서는 확인되지 않은 페이지 접근을 지양하고 주기적인 보안업데이트가 필요하다.

1)     원격 코드 실행 취약점 (CVE-2018-8174) 예방

인터넷 익스플로러 최신 버전 업데이트

-       https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads

 

대응

현재 안랩 제품에서는 Fileless 형태의 랜섬웨어 행위에 대해 다음과 같이 진단하고 있다.

Malware/MDP.Ransom.M1944

Malware/MDP.Ransom.M1947


Reference

MSDN : https://msdn.microsoft.com/ko-kr/library/windows/desktop/ms684880(v=vs.85).aspx


Posted by 분석팀