Magniber ランサムウェアは、IE の脆弱性を利用して Fileless 形式で感染するランサムウェアであり、韓国国内ユーザーが多く被害を受けるランサムウェアの一つである。脆弱性が発生した段階で事前検知および遮断しないと感染を防ぐのが難しい構造であり、またアンチウイルスプログラムでの検知が困難な状況である。Magniber ランサムウェアは2021年3月15日に CVE-2021-26411 の脆弱性を利用して最近まで拡散していたが、9月16日には CVE-2021-40444 の脆弱性に切り替わったことを確認した。この脆弱性は9月14日に Microsoft セキュリティパッチが適用された最新の脆弱性であり、多数のユーザーが感染の危険にさらされている状況である。(Windows10 環境でのみ脆弱性が変更され、それ以外では従来の CVE-2021-26411 が使用中)
脆弱性が発生すると、以下のパスに calc.inf という名前のファイルが生成され、control.exe という名前の正常な Windows プロセスによって Magniber ランサムウェアが実行されるという方式である。
- 2021/09/16: %SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\calc.inf
- 2021/09/17: %SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\winsta.inf
以下の[図1]は脆弱性の発生時、iexplore.exe -> control.exe 形式のプロセス呼出過程および calc.inf ファイルが動作するプロセスを示している。
以下の[図2]は calc.inf 形式のファイル名で Magniber の配布が始まった時点が2021年9月16日の9時以降であるということがわかり、1日だけで300件余りの V3 検知ログが確認されている状況である。
V3 製品では、このような脆弱性変更の試みに対してメモリチェックおよびファイル検知によって感染を事前に遮断している。
[V3 検知]
- Ransomware/Win.Magniber.C4633813 (ファイル検知:calc.inf)
- Exploit/JS.CVE-2021-40444.XM129 (プロセスのメモリ検知)
[手動による対応方法]
Internet Explorer で ActiveX コントロールを無効にする
(1) メモ帳に以下のテキストを貼り付け、拡張子を「.reg」にして保存する
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003
(2) 保存した reg ファイルを実行後、再起動を実行する
[脆弱性対象システム]
- Windows 8.1, RT 8.1
- Windows 10 : 1607, 1809, 1909, 2004, 20H2, 21H1
- Windows Server 2008 SP 2, 2008 R2 SP 1
- Windows Server 2012, 2012 R2
- Windows Server 2016, 2019, 2022
- Windows Server version 2004, 20H2
[参考資料]
- https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2021-40444
- https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-mshtml-bug-now-exploited-by-ransomware-gangs/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/27200/ […]