EDR を活用した Magniber ランサムウェアの配布元の追跡

AhnLab ASEC は1月に Magniber ランサムウェアが韓国国内での拡散を再開(1/28)したことを公開した。その後も継続的に Magniber の拡散が確認されており、AhnLab はこれを様々な形で遮断している。

Magniber ランサムウェア、韓国国内での配布再開(1/28)

特に、配布当時は <a> タグを通してドメイン遮断を回避していることが確認されており、これを検知するために他の方法を通して配布元の URL を追跡して対応する方法について研究してきた。これを改善して適用したインフラで収集された情報を基に、配布元の遮断、ファイル検知などを通して被害が発生しないよう努めている。

Magniber ランサムウェアは、Anti virus 製品の検知を回避するため、継続的に変形して拡散しており、リアルタイム対応を難しくしているだけあって、追加被害を防止するために流入段階の追跡が重要になる。

AhnLab EDR 製品は Magniber ランサムウェアの配布元との接続を検知して、流入パスを追跡し、二次被害が発生しないようにするのに非常に役に立つ。

[図1] EDR の疑いのある振る舞いの検知画面(AhnLab EDR)
[図2] Magniber 配布元との接続検知ダイアグラム(AhnLab EDR)

このホストの詳細情報を確認すると、どのような方式で Magniber 配布元と接続しているのかの追跡が可能になる。

[図3] ホストの詳細情報を通した Magniber 流入パスの追跡

EDR を利用した追跡を通して、検索エンジンを利用して資料を検索していたところ、Magniber の配布元と接続できる広告ページにアクセスしたことが確認された。

[図4] 検索エンジンを通した Magniber の拡散の確認

ドメインの誤入力を悪用したタイポスクワッティング(Typosquatting)方式で拡散している他にも、上記のような検索エンジンに露出した検索結果にアクセスするだけでも Magniber の配布元とつながることができてしまう。検索結果で一般的ではないドメインであることが確認された場合、ユーザーの注意が必要であり、ダウンロードされるファイル(.msi or .zip)を絶対に実行してはならない。

現在 AhnLab では、Magniber ランサムウェアについて以下の通り対応している。

[IOC]

[Magniber dll 生成パス] – C:\Users\[UserName]\AppData\Local\Temp\MSI[ランダムな4文字].tmp

[Magniber dll ファイル検知] – Ransomware/Win.Magniber.R557708 (2023.02.10.03)

[Magniber msi ファイル検知] – Ransomware/Win.Magniber (2023.02.10.03)

[ドメインおよび IP 遮断]

217.182.162.62 datebar.space
51.68.238.215 doeor.email
45.32.170.38 flatthe.uno
51.254.147.171 viabugs.space

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:AhnLab 検知

5 3 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments