ASEC 分析チームは9月8日のブログを通じて、Magniber の変形に関する内容を紹介した。Magniber ランサムウェアのスクリプトが JavaScript である点は同じだが、9月16日からは、拡張子が従来の *.jse から *.js に変更された。Magniber が9月8日を起点に JavaScript に変更され、動作方式も従来のものから変化した。現在拡散している JavaScript ファイルの内部には[図2]のような .NET DLL が含まれ、Magniber のシェルコードを実行中のプロセスにインジェクションする。最新の Magniber の全体的な動作フローは[図1]の通りである。
https://asec.ahnlab.com/jp/38812/
.NET DLL の内部には Magniber のシェルコードを含んでおり、シェルコードの機能は現在実行中の復数のプロセスに Magniber シェルコードをインジェクションすることである。[図3]は Magniber シェルコードが実行中の正常なプロセスにシェルコードをインジェクションするコードルーティンである。結果的に[図3]のコードルーティンにより、ユーザーのシステムにおいて実行中の正常なプロセスがランサムウェアの振る舞いを実行させることになる。
V3 製品では最新の Magniber の変形に対して、プロセスメモリ検知機能と悪意のあるスクリプト検知(AMSI)機能を通じて Magniber を検知、および遮断している。
現在 AhnLab では Magniber ランサムウェアに対して、ファイル検知だけでなく、様々な検知方法により対応を行っている。したがって、ユーザーは[V3 環境設定] – [PC スキャン設定]でプロセスのメモリ検知の使用、不正なスクリプト検知(AMSI)の使用オプションを有効化して使用することを推奨する。
[IOC]
[MD5 (検知名)] – JavaScript ファイル検知
– f75c520810b136867a66b1c24f610a5b (Ransomware/JS.Magniber.S1915 (2022.09.15.03))
[プロセスのメモリ検知]
– Ransomware/Win.Magniber.XM153 (2022.09.15.03)
[MD5 (検知名)] – AMSI 検知(.NET DLL)
– e59d7d6db1fcc8dfa57c244ebffc6de7 (Ransomware/Win.Magniber.R519329 (2022.09.15.02))
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報