ASEC(AhnLab Security Emergency response Center)は多数の配布数をほこる Magniber ランサムウェアをモニタリングし続けている。Magniber ランサムウェアは、ここ数年間で Internet Explorer の脆弱性によって拡散していたが、IE のサポート終了時期を基準に、IE の脆弱性による配布を終了していた。そして、最近の Magniber ランサムウェアは、Edge、Chrome ブラウザから Windows のインストールパッケージファイル(.msi)で配布されている。
最近は、Magniber ランサムウェアに感染したシステムから再感染する被害事例が報告されており、これを解析したところ、システムを再実行するたびに新たな Magniber をダウンロードして、暗号化されるように製作されており、被害を拡大させていた。
以下の[図]は MSI ファイルの実行時に、msiexec.exe で動作するインジェクターコードである。ユーザーのプロセスリストに繰り返し文(do-while)によって順番に Magniber ランサムウェアペイロードを注入する。
[図] msiexec.exe で動作するインジェクターコード(正常なプロセスにランサムウェアをインジェクション)
以下の[図]は Inject_Magniber 関数コードに図で表示された API を通してユーザープロセスにランサムウェアを注入している。
[図] Inject_Magniber 関数(CreateThreadEx などの API を通してインジェクションを実行)
以下の[図]は正常なプロセスに注入された Magniber Ransomware コードで、ランダムな関数(Func_Random)を利用して、ランダム値を発生させる。奇数の場合は持続性コード(Persistence_RegistryEdit)が実行され、偶数の場合はリトライを登録せずに暗号化を試みる。再実行登録は暗号化の事前段階で、再実行のためにレジストリに登録する段階で遮断される場合、暗号化を成功させるために再実行登録コードを実行しない残りの半分のプロセスを利用して、ファイルの暗号化を行う。
[図] 正常なプロセスに注入された Magniber Ransomware コード
[図] Persistence_RegistryEdit 関数の持続性ルーティンである。
[図] Persistence_RegistryEdit 関数の持続性ルーティン(レジストリ)
Magniber ランサムウェアが、単純にレジストリ Run キーに登録して遮断されることを回避するため、登録するレジストリの段階は以下の通りである。
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run キーに意味のない .3fr ファイルを登録し、このパスにダミーファイルを生成
[図] Run キーに登録したレジストリ
- .3fr ファイルが実行される場合、一緒に実行されるレジストリの登録
[図] 一緒に実行されるレジストリの登録
- 登録されたレジストリに Magniber ランサムウェアをダウンロードするコマンドを保存
[図] Magniber 再実行時にレジストコマンドを登録
再起動時、Run キーに登録された .3fr 拡張子を実行しながら、追加で動作するように保存されたレジストリによって、再実行されるたびに新しい Magniber をダウンロードして再度暗号化が行われている。
Magniber 自動収集システムで確認したところ、2月20日から Magniber の配布が止まったことが確認されたが、いつ再開するのかの予想はできない。Magniber は最新 Windows バージョンの chrome、Edge ブラウザのユーザーを対象に、ドメインの誤字脱字を悪用したタイポスクワッティング(Typosquatting)方式で配布されており、ユーザーが誤って入力したドメインによって、以前の事例のようにランサムウェアの感染につながる可能性があるため、特に注意する必要がある。
[図] Magniber 配布の現状
現在 AhnLab では、Magniber ランサムウェアについて以下の通り対応している。
[IOC] [Magniber dll 生成パス] – C:\Users\[UserName]\AppData\Local\Temp\MSI[ランダムな4桁].tmp
[Magniber dll ファイル検知] – Ransomware/Win.Magniber.R554966 (2023.01.30.01)
[Magniber msi ファイル検知] – Ransomware/Win.Magniber (2023.01.30.01)
[Magniber dll MD5]
35c3743df22ea0de26aeac37a88da1c9
0723b125887e632bd2203680b75efb57
1484d68f70fca635fa36bdf6d0493fbf
fad8957047b31c13ac7ae4f72c4775d4
aa4c28fb3cd600745aa0abd616b2b128
c32d55881a9290267ddbe7005b12b6b8
bd952ad584866bcd4454a3385b615c74
be1fbf7bf36efcf84a604da24b93d97f
162d6827d206fbab285c09b518f30ec9
[Magniber msi MD5]
65ac438561b3a415876dff89d2804a13
35c3743df22ea0de26aeac37a88da1c9
0723b125887e632bd2203680b75efb57
1484d68f70fca635fa36bdf6d0493fbf
fad8957047b31c13ac7ae4f72c4775d4
aa4c28fb3cd600745aa0abd616b2b128
c32d55881a9290267ddbe7005b12b6b8
bd952ad584866bcd4454a3385b615c74
be1fbf7bf36efcf84a604da24b93d97f
162d6827d206fbab285c09b518f30ec9
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報