ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、2021年3月に従来の CVE-2020-0968 脆弱性の代わりに CVE-2021-26411 脆弱性を使用するスクリプトに変更された。マグニバー(Magniber)ランサムウェアは、いまだに韓国国内での被害事例が多い状況であり、IE の脆弱性(CVE-2021-26411)を利用して拡散しているため、IE ユーザーの場合はセキュリティパッチの適用が必須とされている。V3 製品に搭載された「プロセスメモリ検知」機能により、最新のマグニバー(Magniber)を検知/遮断することが可能である。
マグニバー(Magniber)ランサムウェアは IE ブラウザの脆弱性を利用した感染によって(別途でファイル生成を行わず)ファイルレス形式で動作し、インジェクション(Injection)を利用したファイルレス形式で実行される。 したがって、ランサムウェア行為を実行する主体は、感染システムの多数の正常なプロセスである。
以下の図は、マグニバー(Magniber)ランサムウェアの動作プロセスを示している。簡略的に、(1)番~(4)番のプロセスで動作し、黄色で表示されたプロセスがランサムウェア行為を実行するプロセスであり、すべてが正常なプロセスであることがわかる。
V3 製品には「プロセスメモリ検知」機能が搭載されており、リアルタイムでのプロセスのメモリ領域のうち、悪意のある部分を検知して駆除する機能を実行し、(4)番の段階でランサムウェアにより実行される正常なプロセスに悪意のあるコードをインジェクションするプロセスをリアルタイムで検知/駆除し、ランサムウェアへの感染を遮断することができる。(検知による駆除対象が正常なプロセスであるため、ユーザーの正常なプロセスが終了する場合がある。)
V3製品に適用されているリアルタイムの「プロセスメモリ検知」を有効にすると、ファイルレス形式のマグニバー(Magniber)ランサムウェアが遮断される。
以下の映像は、V3製品の遮断機能のうち「プロセスメモリ診断」機能を利用したマグニバー(Magniber)ランサムウェアの遮断映像である。
[V3製品によるマグニバー(Magniber)ランサムウェアの行為検知遮断映像] / OS : Windows 10 64bit
[V3製品によるマグニバー(Magniber)ランサムウェアの行為検知遮断映像 ] / OS : Windows 7 32bit
[V3 検知名]
- 行為検知時の診断名:Ransom/MDP.Magniber.M3431
- プロセスのメモリ診断名(エンジンバージョン):
- Ransomware/Win.Magniber.XM101 (2021.04.16.00)
- Ransomware/Win.Magniber.XM102 (2021.04.16.00)
- Ransomware/Win.Magniber.XM103 (2021.04.16.00)
- Ransomware/Win.Magniber.XM104 (2021.04.16.00)
Categories:マルウェアの情報