매그니베르(Magniber) 랜섬웨어 유포자는 V3의 진단을 회피하기 위해 지속적으로 진화해왔다. ASEC블로그를 지속적으로 구독해온 구독자라면 안랩과 매그니베르 랜섬웨어 제작자와의 쫓고 쫓기는 긴 역사에 대해선 익히 알고 있을 것이다.
매그니베르 유포자는 안랩 창립기념일(3/15)로 휴일인 날을 노려 그 동안 사용해왔던 취약점(CVE-2020-0968) 대신 CVE-2021-26411 취약점으로 긴급 변경하였다. ASEC 분석팀은 이러한 탐지 우회 시도를 빠르게 인지하기 위해 자동 대응 및 수집 시스템을 구축 운영 중이며, 해당 시스템을 통해 최신 CVE-2021-26411 취약점 스크립트로 변경한 것을 빠르게 포착할 수 있었다. 해당 취약점은 3월 9일 MS에서 보안패치 배포되었음으로 IE 사용자의 경우, 빠른 패치 적용이 필요하다. V3 사용자의 경우, 행위탐지 기능에 의해 이러한 파일리스(Fileless) 형태의 취약점 공격에 사전차단이 가능하다.
참고- 과거 취약점 변경 포착:
Magniber 랜섬웨어 유포 취약점 변경(CVE-2018-8174 -> CVE-2019-1367)
Magniber 랜섬웨어 유포 취약점 변경(CVE-2019-1367 -> CVE-2020-0968) 및 행위 진단 우회 시도)
변경된 최신 CVE-2021-26411 취약점은 구글과 마이크로소프트 및 여러 보안업에 종사하고 있는 연구원의 정보를 탈취 하기 위하여 북한에서 사용한 Internet Explore의 취약점 코드와 매우 유사한 부분이 많다.
참조 페이지
New campaign targeting security researchers(Google)
ZINC attacks against security researchers(Microsoft)
Hacking group also used an IE zero-day against security researchers(Lazarus 그룹 추정)
Internet Explore 0-day 분석
상기 3건의 정보 탈취 시도는 모두 MHTML파일을 이용하여 codevexillium[.]org에 접속을 Internet Explore로 유도하였다(MHTML실행 기본 프로세스인 Internet Explore사용을 유도함) 해당 페이지(codevexillium[.]org)는 취약점을 갖고 있는 JS코드를 포함하고 있었으며 아래 수집된 매그니베르가 사용하는 코드와 매우 유사한 것을 알 수 있다.
[codevexillium[.]org 수집 코드 유사 부분-1] *출처: https://enki.co.kr/blog/2021/02/04/ie_0day.html
Internet Explore사용자는 매그니베르 공격에 매우 취약하다. 앞선 보안 연구자를 노린 공격에서도 Internet Explore사용을 유도하기 위해 MHTML파일로 유포한 정황을 보면 보안에 취약한 프로그램 사용은 지양해야 한다.
안랩은 위와 같은 공격을 행위기반탐지로 파일 암호화 수행하기 전에 차단하는 것을 알 수 있다.
V3 행위 탐지 진단명
– Malware/MDP.Inject.M2906
– Malware/MDP.Inject.M3431
취약점 변경 전 후의 V3 행위탐지 진단명의 변화는 다음과 같다. 하루 평균 400~600건 사이의 차단 로그가 확인된 행위룰 M3379번이 3월 15일자에서는 129건으로 급격하게 감소하였고, 행위룰 M2906번이 545건으로 급증한 것을 알 수 있다. 매그니베르 제작자에 의해 새로운 취약점으로의 변경이 빠르게 진행될 수 있는 만큼 사용자 주의가 필요하다.
Categories:악성코드 정보