본문 바로가기

악성코드 정보

Magniber 랜섬웨어 파일 생성방식의 변화 (파일은폐)

멀버타이징(Malvertising)을 통해 유포되는 Magniber 랜섬웨어의 최근 유포방식에서 사용자 시스템에 랜섬웨어 파일을 생성할때 Alternate Data Stream(ADS)를 활용한 파일 은폐 기법이 사용되었다. 멀버타이징(Malvertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염 시키는 방법이다.

[그림 1], [그림 2]는 각각 암/복호화된 유포 스크립트를 나타낸다. [그림 2]의 복호화된 Magniber 유포 스크립트를 보면, %temp% 경로에 생성하는 파일명이 “wa0flL0Y: wa0flL0Y” 임을 확인할 수 있다.

[그림 1] 난독화된 Magniber 랜섬웨어 유포 스크립트

(샘플 MD5 : 6f4753b9629eecebbf15d1afe9ea4bb5)


[그림 2] 복호화된 Magniber 랜섬웨어 유포 스크립트


해당 기법을 통해 로컬에 저장된 파일은 디렉터리에서 확인하면 [그림 3]과 같이 파일의 크기가 0byte 로 보여진다하지만 [그림 4]와 같이 커맨드 명령(dir /r)을 통해 해당 경로를 확인해 보면 “wa0flL0Y: wa0flL0Y” 라는 이름의 Alternate Data Stream(ADS)에 실제 랜섬웨어 파일이 쓰여진다.


[그림 3] temp 폴더에 생성된 파일


[그림 4] 커맨드 명령을 통해 확인한 실제 폴더구조


Alternate Data Stream(ADS) 에 쓰인 실제 랜섬웨어 파일은  [그림 2]의 복호화된 유포 스크립트의 마지막 줄의 실행문에 의해 실행되며, [표 1]의 WMIC 쿼리를 통해 실행한다.

windows xp 이후, ADS에 생성된 파일은 "start [파일명]" 과 같은 커맨드 명령으로는 실행되지 않지만 WMIC 쿼리를 통하면 windows 7 환경에서도 ADS에 생성된 파일이 실행 가능함을 확인하였다.

WMIC process call create "%temp%\\wa0f1LoY:wa0f1LoY 

[표 1] 실행되는 WMIC 쿼리


현재 V3에서는 Alternate Data Stream(ADS)에 쓰여지는 파일이 수동, 실시간 모두 진단이 가능하며다음의 진단명으로 진단하고 있다.

- 파일 진단 : Trojan/Win32.Magniber

(엔진 반영 버전 : 2018.02.07.01)

- 행위 진단 : Malware/MDP.Ransome.M1171

(엔진 반영 버전 : 2016.12.03.01)