ファイルレス(Fileless)形式で動作するマグニバー(Magniber)ランサムウェアは、CVE-2021-26411 の脆弱性 JAVA スクリプトを使用し、IE ブラウザを通して活発に拡散している。Magniber ランサムウェアは内部コードのフローも急激に変化しており、依然として韓国国内の被害事例が多いランサムウェアである。Magniber ランサムウェアは IE の脆弱性(CVE-2021-26411)を利用して拡散しているため、IE ユーザーの場合はセキュリティパッチの適用が必須とされている。現在 V3 製品は「ビヘイビア検知」機能により、最新の Magniber ランサムウェアの検知/遮断が可能である。
[図1]は最新の Magniber ランサムウェアの感染プロセスである。マグニバー(Magniber)ランサムウェアは IE ブラウザの脆弱性を利用した感染によって(別途でファイル生成を行わず)ファイルレス形式で動作し、インジェクション(Injection)を利用したファイルレス形式で実行される。したがって、ランサムウェア行為を実行する主体は、感染システムの多数の正常なプロセスである。
簡略的に、[図1]の(1)番~(4)番のプロセスで動作し、黄色で表示されたプロセスがランサムウェア行為を実行するプロセスであり、ユーザー PC に存在する正常なプロセスである。
近年の Magniber ランサムウェアは[図1]のような構造を示すが、[図2]のように内部のシェルコードパターンおよびマルウェアの注入方式において変化を見せ続けている。
タイムラインを見ると、今年初めまで CVE-2020-0968 の脆弱性を使用していた Magniber EK は2021年3月15日に公開された CVE-2021-26411 POC コードを基にして、脆弱性を新しく変更した。
https://asec.ahnlab.com/jp/21222/
攻撃者は、新たな脆弱性に変更したあと V3 のビヘイビアおよびメモリ検知を回避するためにシェルコードの難読化、およびインジェクション対象の変更等、様々な方式で診断の回避を試みてきたが、現在 V3 の最新エンジンではこの脆弱性に対して、ビヘイビアおよびメモリ検知が可能になった。
シェルコードの変化プロセスとインジェクション対象の変化について簡単に調べたところ、4月22日に攻撃者はシェルコードの難読化によって、4月15日のエンジンで配布された V3 メモリ検知の回避を試みていた。
https://asec.ahnlab.com/jp/22403/
以降、5月4日にはインジェクション対象が従来の 32bit プロセスから 64bit プロセスへ変更されたことにより、64bit 環境のユーザーは従来よりも多くの正常なプロセスに Magniber コードがインジェクションされることになった。(32bit ユーザーは 32bit プロセスを対象にインジェクション)
上の動画のように、最新の V3 エンジンではユーザーが脆弱な Web ページにアクセスすると、CVE-2021-26411 の脆弱性スクリプトの異常な行為について検知を行う。
このビヘイビア検知機能は2021年6月18日基準で V3 を使用しているすべてのユーザーに配布され、ランサムウェアがユーザーのドキュメントを暗号化する前に事前検知および遮断することができる。しかし、ランサムウェアへの感染を予防する最も重要な方法は、セキュリティ更新プログラムを最新の状態に維持することである。従って、ユーザーはセキュリティ更新プログラムの最新化に日頃から注意し、信頼できないサイトへのアクセスは避けなければならない。
[ビヘイビア検知]
– Exploit/MDP.Magniber.M3773 (2021.06.18.00)
[メモリ検知]
– Ransomware/Win.Magniber.XM101 (2021.06.10.02)
[MS セキュリティ更新プログラム]
– https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26411
Categories: マルウェアの情報