매그니베르(Magniber) 랜섬웨어, 인젝션 방식의 변화

ASEC 분석팀은 높은 유포건수를 보이는 매그니베르(Magniber) 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 설치 패키지 파일(.msi)로 유포되고 있다.

Windows 설치 패키지 파일(.msi) 로 유포되는 매그니베르 랜섬웨어는 [그림 1] 과 같이 하루에 수백 건 가량의 유포 로그가 리포트 되고있다.

[그림 1] 최근 매그니베르 랜섬웨어 행위 건 수

매그니베르 랜섬웨어는 부적절한 광고 사이트 접속시 또는 정상 사이트와 유사하게 도메인 위장(타이포스쿼팅) 사이트 접속을 통해 [그림 2]와 같이 msi 다운로드 사이트로 리다이렉션 한다. 해당 사이트로부터 [그림 3]과 같이 MS 업데이트 파일로 위장한 Windows 설치 패키지 파일(.msi)가 다운로드된다.

[그림 2] 광고사이트 및 위장사이트를 통해 리다이렉션된 랜섬웨어 유포 페이지
[그림 3] 유포페이지로부터 다운로드된 Windows 설치 패키지 파일(.msi) (매그니베르 랜섬웨어)

아래 [그림 4]는 msi 파일로 유포되는 매그니베르 랜섬웨어의 변화된 구동방식을 설명한 그림이다. 기존 msiexec.exe 에서 구동되던 매그니베르 랜섬웨어가 5월 초를 기점으로 사용자의 정상 프로세스에 랜섬웨어를 주입하는 방식으로 변화되었다.

[그림 4] 최근 매그니베르 랜섬웨어의 구동방식 변화 (정상 프로세스 인젝션)

동작방식이 변화된 msi 파일은 아래 [그림 5] 와 같이 Windows 설치 패키지(msi) 의 CustomAction 기능을 통해 Injector DLL을 드롭하고 로드하여 익스포트 함수(udxleoyjaionwdbkwf)를 실행한다.

[그림 5] Windows 설치 패키지의 CustomAction 으로 등록된 DLL

[그림 6]은 익스포트 함수(udxleoyjaionwdbkwf) 의 코드이다. 해당 코드는 디코딩(XOR) 과정을 통해 [그림 7], [그림 8] 과 같이 루프문(do-while)을 순회하며 실행중인 정상 프로세스들에 랜섬웨어 페이로드를 주입한다.

[그림 6] Injector DLL의 익스포트 함수(udxleoyjaionwdbkwf)
[그림 7] 디코딩된 메인 함수(정상 프로세스에 인젝션 기능)
[그림 8] Inject_Ransomware 함수

위 코드 과정을 통해 정상프로세스에 인젝션된 매그니베르 랜섬웨어는 사용자의 파일을 암호화 한다. 그리고 암호화된 폴더 경로에 [그림 9] 와 같이 금전을 요구하는 랜섬노트를 생성한다.

[그림 9] 매그니베르 랜섬웨어 랜섬노트

현재 매그니베르는 최신 윈도우 버전의 크롬, 엣지 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있다. 따라서 사용자가 잘못 입력한 도메인으로 인하여 이번 사례와 같이 랜섬웨어 유포로 연결될 수 있기 때문에 각별한 주의가 필요하다.

현재 안랩에서는 매그니베르 랜섬웨어에 대해 아래와 같이 대응하고있다.

[IOC]
[dll 생성 경로]
– C:\Windows\Installer\MSI[랜덤4자리].tmp

[dll 파일진단]
– Ransomware/Win.Magniber (2022.07.01.00)

[msi 파일진단]
– Ransomware/MSI.Magniber (2022.07.01.00)

[권한 상승 행위진단]
– Escalation/MDP.Magniber.M4217 (2022.02.25.03)

[msi MD5]
ccdba00eae09a4f58d025f2159d30aef

[Injector dll MD5]
24b5f8d4380c7eb1c18fed412c3eff9b

Categories:악성코드 정보

3.7 3 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments