매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444)

매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된 것을 확인하였다. 해당 취약점은 9월 14일에 MS 보안패치가 적용된 최신 취약점으로 많은 사용자들이 감염 위험에 노출된 상황이다. (Win10 환경에서만 취약점이 변경되었으며, 그 외에는 기존 CVE-2021-26411이 사용 중)

취약점 발생 시, 아래의 경로에 calc.inf 이름의 파일이 생성되며, control.exe 이름의 정상 윈도우 프로세스에 의해 해당 매그니베르 랜섬웨어가 실행되는 방식이다.

  • 2021/09/16: %SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\calc.inf
  • 2021/09/17: %SystemDrive%:\Users\%UserName%\AppData\Local\Temp\Low\winsta.inf

아래의 그림은 취약점 발생 시, iexplore.exe -> control.exe 형태의 프로세스 호출과정 및 calc.inf 파일이 동작하는 과정을 나타낸다.

[그림] 취약점 발생 시점의 프로세스 구조

아래의 그림은 calc.inf 형태의 파일명으로 매그니베르 유포가 시작된 시점이 2021년 9월 16일 09시 이후라는 것을 알 수 있으며, 하루에만 300여건의 V3 탐지 로그가 확인되고 있는 상황이다.

[그림] 취약점 변경시점 (9월 16일)

V3 제품에서는 이러한 취약점 변경 시도에 대해 메모리 검사 및 파일 진단을 통해 감염을 사전 차단하고 있다. 아래의 그림은 calc.inf 파일이 생성되는 시점에 탐지하는 화면을 나타낸다.

[그림] V3 메모리진단 화면
[그림] V3 파일진단 화면

[V3 진단]

  • Ransomware/Win.Magniber.C4633813 (파일진단: calc.inf)
  • Exploit/JS.CVE-2021-40444.XM129 (프로세스 메모리 진단)

[수동 대응 방안]

인터넷 익스플로러에서 ActiveX 컨트롤 설치 중지 설정

(1) 메모장에 아래의 텍스트 복사하여 확장자를 “.reg”로 저장

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003

(2) 저장한 reg 파일 실행 후, 재부팅 수행

[취약점 대상 시스템]

  • Windows 8.1, RT 8.1
  • Windows 10 : 1607, 1809, 1909, 2004, 20H2, 21H1
  • Windows Server 2008 SP 2, 2008 R2 SP 1
  • Windows Server 2012, 2012 R2
  • Windows Server 2016, 2019, 2022
  • Windows Server version 2004, 20H2

[참고자료]

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

4.5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments