素早く変化している Magniber ランサムウェア

Magniber ランサムウェアは最近、素早く変化している。拡張子の変更からインジェクション、UAC 回避の手法まで、最近 Magniber ランサムウェアはアンチウイルスの検知を回避するために素早い変形を見せている。過去に把握されてきた解析内容を通じて、ここ数か月間の Magniber ランサムウェアの変化を当記事にて整理した。

[表1]は Magniber ランサムウェアの日付別配布ファイルの主な特徴である。4か月間にわたり msi、cpl、jse、js、wsf の5種類の拡張子で配布され、直近の9月には4回(cpl -> jse -> js -> wsf -> msi)の頻繁な拡張子変更が行われた。

[図1]は Magniber ランサムウェアの2022-05-07配布ファイルである。MSI 拡張子で配布されており、msiexec.exe によって実行され msiexec.exe がファイルの暗号化を直接実行した。暗号化の後は、Windows 10 復旧環境を無効化する。復旧環境無効化コマンドのスムーズな実行のため、UAC 回避手法を活用する。この手法は高い権限で実行される fodhelper.exe が実行時、コマンドによって参照するレジストリの値(HKCU:\Software\Classes\ms-settings\shell\open\command)を変更して UAC 回避を試みている。

その後、6月14日のサンプルは[図2]のようにランサムウェアの主な振る舞いであるファイルの暗号化の主体を多様に変更するため、正常なプロセスにランサムウェアのペイロードを注入するように変更された形を示した。また、Windows 10 の復旧環境を無効化するための UAC 回避手法が ProgID を利用して可変的なレジストリ値(HKCU:\Software\Classes\(custom progID)\shell\open\command)を変更して fodhelper.exe から参照し、UAC 回避を試みる。これは、固定レジストリ値(HKCU:\Software\Classes\ms-settings\shell\open\command)の変更よりも検知の回避に有用である。

[図3]は7月20日の配布ファイルである。図の通り MSI(Windows インストーラーファイル)から CPL(Windows Control Panel Item)ファイルにフォーマットが変更されたことが確認された。当時収集したファイルの暗号化の主体は rundll32.exe であり、Windows 10 の復旧環境を無効化する振る舞いは発見されなかった。

https://asec.ahnlab.com/jp/37001/

8月8日に配布されたファイルではインジェクション機能が追加され、暗号化の主体範囲が実行中のプロセスへと拡張された。また、Windows 10 の復旧環境を無効化するコマンドが追加された。UAC の回避方法としては ProgID を利用して可変的なレジストリキー(HKCU:\Software\Classes\(custom progID)\shell\open\command)を変更する方法が確認された。さらなる特徴として、レジストリ値のコマンドが従来の regsvr32 実行構文ではなく wscript 実行構文に変更された。これにより、Windows 10 の復旧環境を無効化するコマンドの実行主体が wscript.exe により実行された。

[図5]は9月8日に配布されたファイルで、一か月の間に再びフォーマットの変化が捕捉された。従来の CPL 形式から JSE(スクリプト)形式に変更され、最初の実行プロセスは wscript.exe から始まり、wscript.exe 内部のペイロードがランサムウェアを実行中のプロセスに注入し、ファイルの暗号化は実行中の任意のプロセスから実行される特徴を示した。[表1]のように、攻撃者は9月8日(.jse)を起点として9月16日(.js)、そして9月28日(.wsf)と、素早い周期で拡張子を変更している。

https://asec.ahnlab.com/jp/38812/

https://asec.ahnlab.com/jp/39475/

9月30日の配布ファイルでは、従来使用されていた MSI 形式に再び変更された。一見すると、6月14日の配布ファイルと類似しているが、Windows 10 の復旧環境を無効化するコマンドは従来(regsvr32)とは異なる wscript を維持する様子が確認された。

ここまで、Magniber ランサムウェアの期間別配布ファイルを確認してきた。9月の一か月間だけで4回(cpl -> jse -> js -> wsf -> msi)のフォーマット変更が確認された。また、検知の回避のためにインジェクション、UAC の回避、Windows 10 の復旧環境を無効化する手法にも頻繁な変更があった。

現在 AhnLab では Magniber ランサムウェアに対して、ファイル検知だけでなく、様々な検知方法により対応を行っている。したがって、ユーザーは[V3 環境設定] – [PC スキャン設定]でプロセスのメモリ検知の使用、不正なスクリプト検知(AMSI)の使用オプションを有効化して使用することを推奨する。

このように、素早く変化する Magniber ランサムウェアは主に Chrome、Edge ブラウザのユーザーをターゲットに、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)の手法で配布されている。したがって、ユーザーがタイプミスしたドメインによって今回の事例のようなランサムウェアの配布につながる可能性があるため、特に注意が必要である。

[IOC]
250a23219a576180547734430d71b0e6
d675958d39e44b310e4e57f4e4f9bc12
0fa83ec90f3f0d0cbab106e69f6dce52
2c54fad7d4632a1a94608444cc2acf38
7b76b698e90df66d4f4bbecf24c95325
8594ed7991a1a041764344a5713ef7d4

スクリプトファイルの検知
Ransomware/WSF.Magniber (2022.09.28.02)
Ransomware/VBA.Magniber.S1928 (2022.10.05.00)
Ransomware/VBA.Magniber.S1939 (2022.10.13.00)

プロセスのメモリ検知
Ransomware/Win.Magniber.XM153 (2022.09.15.03)

AMSI 検知(.NET DLL)
Ransomware/Win.Magniber.R528971 (2022.10.14.00)

参考
^[1]Utilizing Programmatic Identifiers (ProgIDs) for UAC Bypasses

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。