V3 메모리 진단을 통한 취약점(CVE-2021-26411) 탐지 (Magniber)

파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 2021년 3월 기존 CVE-2020-0968 취약점 대신 CVE-2021-26411 취약점을 사용하는 스크립트로 변경되었다. 매그니베르(Magniber) 랜섬웨어는 여전히 국내 피해사례가 많은 상황이며, IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. V3 제품에 탑재된 ‘프로세스 메모리 진단‘ 기능으로 최신 메그니베르(Magniber)의 탐지/차단이 가능하다.

매그니베르 랜섬웨어는 IE 브라우저 취약점을 통한 감염으로 (별도의 파일생성 없이)파일리스 형태로 동작하며, 인젝션(Injection)을 통한 파일리스 형태로 동작한다.  따라서 랜섬웨어 행위를 수행하는 주체가 감염 시스템의 다수의 정상 프로세스들이다.

아래의 그림은 매그니베르 랜섬웨어의 동작과정을 나타낸다. 간략하게 (1)번~(4)번 과정을 통해 동작하며, 노란색으로 표시된 프로세스가 랜섬웨어 행위를 수행하는 프로세스들로 모두 정상 프로세스임을 알 수 있다.

V3 제품에는 ‘프로세스 메모리 진단‘ 기능이 포함되어 있으며, 실시간으로 프로세스 메모리 영역 중 악의적인 부분을 탐지하여 치료하는 기능을 수행 하며 (4) 단계의 랜섬웨어에 의해 수행되는 정상 프로세스에 악의적인 코드 인젝션 과정을 실시간으로 진단/치료하여 랜섬웨어 감염을 차단할 수 있다. (진단 치료 대상이 정상 프로세스로 사용자의 정상 프로세스가 종료될 수 있다.)

V3 제품의 프로세스 메모리 진단 기능

V3 제품에 적용된 실시간 ‘프로세스 메모리 진단’을 활성화 하면, 아래와 같이 파일리스 형태의 매그니베르 랜섬웨어가 차단된다.

V3 제품 프로세스 메모리 진단 화면

아래 영상은 V3 차단 기능 중 프로세스 메모리 진단 기능을 이용한 매그니베르(Magniber) 랜섬웨어 차단 영상이다.

[V3제품에 의한 매그니베르 랜섬웨어 행위탐지 차단영상] / OS : Windows 10 64bit

[V3제품에 의한 매그니베르 랜섬웨어 행위탐지 차단영상] / OS : Windows 7 32bit

[V3 진단명]

  • 행위탐지 진단명 : Ransom/MDP.Magniber.M3431
  • 프로세스 메모리 진단명 (엔진버전) :
    • Ransomware/Win.Magniber.XM101 (2021.04.16.00)
    • Ransomware/Win.Magniber.XM102 (2021.04.16.00)
    • Ransomware/Win.Magniber.XM103 (2021.04.16.00)
    • Ransomware/Win.Magniber.XM104 (2021.04.16.00)
5 5 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments