V3 행위 진단을 통한 취약점 JAVA 스크립트(CVE-2021-26411) 탐지 (Magniber)

파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 CVE-2021-26411 취약점 JAVA 스크립트를 사용하여 IE 브라우져를 통해 활발하게 유포되고 있다. 매그니베르 랜섬웨어는 내부 코드 흐름 또한 빠르게 변화하고 있으며, 여전히 국내 피해사례가 많은 랜섬웨어이다. 매그니베르 랜섬웨어는 IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. 현재 V3 제품은 ‘행위 진단‘ 기능으로 최신 메그니베르 랜섬웨어의 탐지/차단이 가능하다.

[그림 1]은 최신 매그니베르 랜섬웨어의 감염 과정이다. 매그니베르 랜섬웨어는 IE 브라우저 취약점을 통한 감염으로 (별도의 파일생성 없이)파일리스 형태로 동작하며, 인젝션(Injection)을 통한 파일리스 형태로 동작한다. 따라서 랜섬웨어 행위를 수행하는 주체는 감염 시스템의 다수의 정상 프로세스이다.

간략하게 [그림 1]의 (1)번~(4)번 과정을 통해 동작하며, 노란색으로 표시된 프로세스가 랜섬웨어 행위를 수행하는 프로세스들로 사용자 PC에 존재하는 정상 프로세스이다.

[그림 1] 매그니베르 랜섬웨어 감염 과정 도식화

근래의 매그니베르 랜섬웨어는 [그림 1]과 같은 구조를 보이고 있지만, [그림 2]와 같이 내부의 쉘코드 패턴 및 악성코드 주입 방식에서 지속적으로 변화를 보이고 있다.

[그림 2] 매그니베르 Exploit Kit 변화과정 타임라인

타임라인을 살펴보면 올해 초까지 CVE-2020-0968 취약점을 사용해왔던 매그니베르 EK는 2021년 3월 15일 공개된 CVE-2021-26411 POC 코드를 바탕으로 취약점을 새롭게 변경하였다.

공격자는 새로운 취약점으로 변경한 후 V3의 행위 및 메모리 탐지 우회를 위해 쉘코드 난독화 및 인젝션 대상 변경 등 다양한 방식으로 진단 우회를 시도해왔으나 현재 V3 최신 엔진에서는 해당 취약점에 대해 행위 및 메모리 탐지가 가능해졌다.

쉘코드 변화 과정과 인젝션 대상 변화에 대해 간략히 살펴보면 4/22일 공격자는 쉘코드 난독화를 통해 4/15일 엔진에 배포된 V3 메모리 탐지 우회를 시도하였다.

[그림 3] 쉘코드 변화 (기존 -> 난독화)

이후 5/4일에는 인젝션 대상이 기존 32bit 프로세스에서 64bit 프로세스로 변경됨에 따라 64bit 환경의 사용자는 기존 보다 더 많은 정상 프로세스에 매그니베르 코드가 인젝션된다. (32bit 사용자는 32bit 프로세스 대상 인젝션)

[그림 4] 32bit 프로세스 검증 루틴 (32bit 프로세스에 매그니베르 코드 인젝션)
[그림 5] 64bit 프로세스 검증 루틴 (64bit 프로세스에 매그니베르 코드 인젝션)

위 동영상처럼 최신 V3 엔진에서는 사용자가 취약한 웹페이지 방문 시 CVE-2021-26411 취약점 스크립트의 비정상적인 행위에 대해 탐지한다.

해당 행위 탐지 기능은 2021년 06월 18일 기준 V3를 사용하는 모든 고객에게 배포되어 랜섬웨어가 사용자의 문서를 암호화 하기전에 사전 탐지 및 차단할 수 있다. 그러나 랜섬웨어 감염에 가장 중요한 예방은 최신 보안 업데이트를 유지하는 것이다. 따라서 사용자는 최신 보안 업데이트를 생활화하고 신뢰되지 않은 사이트 방문은 자제해야 한다.

[행위 진단]
– Exploit/MDP.Magniber.M3773 (2021.06.18.00)

[메모리 진단]
– Ransomware/Win.Magniber.XM101 (2021.06.10.02)

[MS 보안 업데이트]
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26411

4.5 4 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments