Magniber ランサムウェア、インジェクション方式の変化

ASEC 分析チームは、配布の件数が多いマグニバー(Magniber)ランサムウェアを継続的にモニタリングしている。Magniber ランサムウェアは、ここ数年間で Internet Explorer の脆弱性によって拡散していたが、IE のサポート終了時期を基準に、IE の脆弱性による配布を終了していた。そして、最近の Magniber ランサムウェアは、Edge、Chrome ブラウザから Windows のインストールパッケージファイル(.msi)で配布されている。

https://asec.ahnlab.com/jp/32161/

Windows のインストールパッケージファイル(.msi)で拡散している Magniber ランサムウェアは、[図1]のように、一日に数百件程度の配布ログが報告されている。

[図1] 直近の Magniber ランサムウェアの振る舞いの件数

Magniber ランサムウェアは、不適切な広告サイトにアクセスした際、もしくは正常なサイトに似せてドメインを偽装(タイポスクワッティング)したサイトにアクセスしたときに、[図2]のように msi ダウンロードサイトにリダイレクションする。このサイトから[図3]のような Microsoft アップデートファイルに偽装した Windows インストールパッケージファイル(.msi)がダウンロードされる。

[図2] 広告サイトおよび偽装サイトによってリダイレクションされたランサムウェアの配布ページ
[図3] 配布ページからダウンロードされた Windows インストールパッケージファイル(.msi) (Magniber ランサムウェア)

以下の [図4]は、msi ファイルで配布される Magniber ランサムウェアの変化と稼働方式を説明した図である。従来の msiexec.exe で稼働していた Magniber ランサムウェアは、5月初めを基準にユーザーの正常なプロセスにランサムウェアを注入する方式に変化している。

[図4] 直近のMagniber ランサムウェアの稼働方式の変化(正常なプロセスにインジェクション)

動作方式が変化した msi ファイルは、以下の[図5]のように、Windows インストールパッケージ(msi)の CustomAction 機能によって injector DLL をドロップしてロードし、Export 関数(udxleoyjaionwdbkwf)を実行する。

[図5] Windows インストールパッケージの CustomAction に登録された DLL

[図6]は Export 関数(udxleoyjaionwdbkwf)のコードである。このコードは、デコード(XOR)プロセスを通して[図7]、[図8]のような繰り返し文(do-while)を巡回して、実行中の正常なプロセスにランサムウェアのペイロードを注入する。

[図6] Injector DLL の Export 関数(udxleoyjaionwdbkwf)
[図7] デコードされたメイン関数(正常なプロセスにインジェクションする機能)
[図8] Inject_Ransomware 関数

上記のコードプロセスを通して正常なプロセスにインジェクションされた Magniber ランサムウェアは、ユーザーのファイルを暗号化する。そして、暗号化されたフォルダーパスに[図9]のような金銭を要求するランサムノートを生成する。

[図9] Magniber ランサムウェアのランサムノート

現在、Magniber は最新バージョンの Windows 版 Chrome、Edge ブラウザのユーザーをターゲットに、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)の手法で配布されている。したがって、ユーザーがタイプミスしたドメインによって今回の事例のようなランサムウェアの配布につながる可能性があるため、特に注意が必要である。

現在 AhnLab では、Magniber ランサムウェアについて以下の通り対応している。

[IOC]
[dll 生成パス]
– C:\Windows\Installer\MSI[ランダムな4桁].tmp

[dll ファイル検知]
– Ransomware/Win.Magniber (2022.07.01.00)

[msi ファイル検知]
– Ransomware/MSI.Magniber (2022.07.01.00)

[権限昇格のビヘイビア検知]
– Escalation/MDP.Magniber.M4217 (2022.02.25.03)

[msi MD5]
ccdba00eae09a4f58d025f2159d30aef

[Injector dll MD5]
24b5f8d4380c7eb1c18fed412c3eff9b

5 2 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments