주의! 매그니베르(Magniber) 랜섬웨어 IE 0-Day 취약점으로 국내 유포 중
매그니베르(Magniber) 랜섬웨어 유포자는 V3의 진단을 회피하기 위해 지속적으로 진화해왔다. ASEC블로그를 지속적으로 구독해온 구독자라면 안랩과 매그니베르 랜섬웨어 제작자와의 쫓고 쫓기는 긴 역사에 대해선 익히 알고 있을 것이다.
매그니베르 유포자는 안랩 창립기념일(3/15)로 휴일인 날을 노려 그 동안 사용해왔던 취약점(CVE-2020-0968) 대신 CVE-2021-26411 취약점으로 긴급 변경하였다. ASEC 분석팀은 이러한 탐지 우회 시도를 빠르게 인지하기 위해 자동 대응 및 수집 시스템을 구축 운영 중이며, 해당 시스템을 통해 최신 CVE-2021-26411 취약점 스크립트로 변경한 것을 빠르게 포착할 수 있었다. 해당 취약점은 3월 9일 MS에서 보안패치 배포되었음으로 IE 사용자의 경우, 빠른 패치 적용이 필요하다. V3 사용자의 경우, 행위탐지 기능에 의해 이러한 파일리스(Fileless) 형태의 취약점 공격에 사전차단이 가능하다.
참고- 과거 취약점 변경 포착:
Magniber 랜섬웨어 유포 취약점 변경(CVE-2018-8174 -> CVE-2019-1367) – ASEC BLOG
매그니베르(Magniber) 랜섬웨어는 취약한 인터넷 익스플로러를 통한 웹페이지 접속만으로 랜섬웨어를 감염시키는 파일리스(Fileless) 형태의 악성코드이다. 국내에 많은 피해를 입히고 있는 대표적인 랜섬웨어로 ASEC 분석팀은 이러한 IE(Internet Explore) 취약점을 통해 유포되는 Magniber 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 2020년 2월 11일부터 유포에 사용하던 취약점이 CVE-2018-8174에서 CVE-2019-1367으로 새롭게 변경하여 국내에 유포 중임을 확인하였다. 아래 [그림 1…
Magniber 랜섬웨어 유포 취약점 변경(CVE-2018-8174 -> CVE-2019-1367)
Magniber 랜섬웨어 유포 취약점 변경(CVE-2019-1367 -> CVE-2020-0968) 및 행위 진단 우회 시도 – ASEC BLOG
ASEC 분석팀은 올해 초 Magniber 제작자가 랜섬웨어를 유포하기 위해 사용하는 취약점을 변경한 것을 공개했었다. https://asec.ahnlab.com/ko/1288 Magniber 제작자가 유포에 사용하던 CVE-2019-1367취약점은 긴급 보안패치(Version 1903)로 인해 업데이트를 수행한 시스템은 2019년 9월 23일부터는 취약점이 동작하지 않았다. 이에 제작자는 최신 취약점을 변경(CVE-2020-0968)하여 감염 대상을 확장하였으며, 설상가상으로 Windows7의 경우 올해 1월 14일 기점으로 서비…
%EB%A7%A4%EA%B7%B8%EB%8B%88%EB%B2%A0%EB%A5%B4(Magniber)%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%20%EC%9C%A0%ED%8F%AC%EC%9E%90%EB%8A%94%20V3%EC%9D%98%20%EC%A7%84%EB%8B%A8%EC%9D%84%20%ED%9A%8C%ED%94%BC%ED%95%98%EA%B8%B0%20%EC%9C%84%ED%95%B4%20%EC%A7%80%EC%86%8D%EC%A0%81%EC%9C%BC%EB%A1%9C%20%EC%A7%84%ED%99%94%ED%95%B4%EC%99%94%EB%8B%A4.%20
ASEC%EB%B8%94%EB%A1%9C%EA%B7%B8%EB%A5%BC%20%EC%A7%80%EC%86%8D%EC%A0%81%EC%9C%BC%EB%A1%9C%20%EA%B5%AC%EB%8F%85%ED%95%B4%EC%98%A8%20%EA%B5%AC%EB%8F%85%EC%9E%90%EB%9D%BC%EB%A9%B4%20%EC%95%88%EB%9E%A9%EA%B3%BC%20%EB%A7%A4%EA%B7%B8%EB%8B%88%EB%B2%A0%EB%A5%B4%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%EC%9D%98%20%EC%AB%93%EA%B3%A0%20%EC%AB%93%EA%B8%B0%EB%8A%94%20%EA%B8%B4%20%EC%97%AD%EC%82%AC%EC%97%90%20%EB%8C%80%ED%95%B4%EC%84%A0%20%EC%9D%B5%ED%9E%88%20%EC%95%8C%EA%B3%A0%20%EC%9E%88%EC%9D%84%20%EA%B2%83%EC%9D%B4%EB%8B%A4.
ASEC%EB%B6%84%EC%84%9D%ED%8C%80%EC%9D%80%20%EC%9D%B4%EB%9F%AC%ED%95%9C%20%ED%83%90%EC%A7%80%20%EC%9A%B0%ED%9A%8C%20%EC%8B%9C%EB%8F%84%EB%A5%BC%20%EB%B9%A0%EB%A5%B4%EA%B2%8C%20%EC%9D%B8%EC%A7%80%ED%95%98%EA%B8%B0%20%EC%9C%84%ED%95%B4%20%EC%9E%90%EB%8F%99%20%EB%8C%80%EC%9D%91%20%EB%B0%8F%20%EC%88%98%EC%A7%91%20%EC%8B%9C%EC%8A%A4%ED%85%9C%EC%9D%84%20%EA%B5%AC%EC%B6%95%ED%95%98%EC%98%80%EC%9C%BC%EB%A9%B0,%20%EC%B0%BD%EB%A6%BD%EA%B8%B0%EB%85%90%EC%9D%BC%EB%A1%9C%20%ED%9C%B4%EC%9D%BC%EC%9D%B8%20%EC%95%88%EB%9E%A9%EC%9D%84%20%EA%B8%B0%ED%9A%8C%EB%A1%9C%20%EB%85%B8%EB%A0%B8%EC%A7%80%EB%A7%8C%20%ED%95%B4%EB%8B%B9%20%EC%8B%9C%EC%8A%A4%ED%85%9C%EC%9D%80%20%ED%83%90%EC%A7%80%EB%A5%BC%20%EC%9A%B0%ED%9A%8C%ED%95%98%EA%B8%B0%20%EC%9C%84%ED%95%B4%20%EC%A0%81%EC%9A%A9%ED%95%9C%20%EC%B5%9C%EC%8B%A0%200-day%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EC%8A%A4%ED%81%AC%EB%A6%BD%ED%8A%B8%EB%A1%9C%20%EB%B3%80%EA%B2%BD%ED%95%9C%20%EA%B2%83%EC%9D%84%20%EB%B0%94%EB%A1%9C%20%ED%8F%AC%EC%B0%A9%ED%95%98%EC%98%80%EB%8B%A4.
%EF%81%AC%20%EC%B0%B8%EA%B3%A0-%20%EA%B3%BC%EA%B1%B0%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EB%B3%80%EA%B2%BD%20%ED%8F%AC%EC%B0%A9:
Magniber%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%20%EC%9C%A0%ED%8F%AC%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EB%B3%80%EA%B2%BD(CVE-2018-8174%20->%20CVE-2019-1367)
Magniber%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%20%EC%9C%A0%ED%8F%AC%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EB%B3%80%EA%B2%BD(CVE-2019-1367%20->%20CVE-2020-0968)%20%EB%B0%8F%20%ED%96%89%EC%9C%84%20%EC%A7%84%EB%8B%A8%20%EC%9A%B0%ED%9A%8C%20%EC%8B%9C%EB%8F%84)</p%3E%20%3C!–%20/wp:paragraph%20–%3E”>Magniber 랜섬웨어 유포 취약점 변경(CVE-2019-1367 -> CVE-2020-0968) 및 행위 진단 우회 시도)
변경된 최신 CVE-2021-26411 취약점은 구글과 마이크로소프트 및 여러 보안업에 종사하고 있는 연구원의 정보를 탈취 하기 위하여 북한에서 사용한 Internet Explore의 취약점 코드와 매우 유사한 부분이 많다.
참조 페이지
New campaign targeting security researchers(Google)
ZINC attacks against security researchers(Microsoft)
Hacking group also used an IE zero-day against security researchers(Lazarus 그룹 추정)
Internet Explore 0-day 분석
상기 3건의 정보 탈취 시도는 모두 MHTML파일을 이용하여 codevexillium[.]org에 접속을 Internet Explore로 유도하였다(MHTML실행 기본 프로세스인 Internet Explore사용을 유도함) 해당 페이지(codevexillium[.]org)는 취약점을 갖고 있는 JS코드를 포함하고 있었으며 아래 수집된 매그니베르가 사용하는 코드와 매우 유사한 것을 알 수 있다.
[codevexillium[.]org 수집 코드 유사 부분-1] *출처: https://enki.co.kr/blog/2021/02/04/ie_0day.html
Internet Explore사용자는 매그니베르 공격에 매우 취약하다. 앞선 보안 연구자를 노린 공격에서도 Internet Explore사용을 유도하기 위해 MHTML파일로 유포한 정황을 보면 보안에 취약한 프로그램 사용은 지양해야 한다.
안랩은 위와 같은 공격을 행위기반탐지로 파일 암호화 수행하기 전에 차단하는 것을 알 수 있다.
V3 행위 탐지 진단명
– Malware/MDP.Inject.M2906
– Malware/MDP.Inject.M3431
취약점 변경 전 후의 V3 행위탐지 진단명의 변화는 다음과 같다. 하루 평균 400~600건 사이의 차단 로그가 확인된 행위룰 M3379번이 3월 15일자에서는 129건으로 급격하게 감소하였고, 행위룰 M2906번이 545건으로 급증한 것을 알 수 있다. 매그니베르 제작자에 의해 새로운 취약점으로의 변경이 빠르게 진행될 수 있는 만큼 사용자 주의가 필요하다.
