최신 매그니베르 랜섬웨어 V3 차단 영상 (AMSI + 메모리진단)

ASEC 분석팀은 지난 9월 8일자 블로그를 통해 매그니베르 변형에 대한 내용을 소개하였다. 9월 16일부터는 매그니베르 랜섬웨어 스크립트가 자바 스크립트 인 것은 동일하지만, 확장자가 기존 *.jse에서 *.js로 변경되었다. 매그니베르가 9월 8일을 기점으로 자바 스크립트로 바뀌면서 동작 방식 또한 기존과 달라졌다. 현재 유포 중인 자바 스크립트 파일 내부에는 [그림 2]와 같은 닷넷 DLL이 포함되어 매그니베르 쉘코드를 실행 중인 프로세스에 인젝션 한다. 최신 매그니베르의 전체적인 동작 흐름은 [그림 1]과 같다.

매그니베르(Magniber) 랜섬웨어 변경(*.cpl -> *.jse) – 9/8일자 – ASEC BLOG

7월 20일에 MSI 형식에서 CPL 형식으로 유포방식을 변경한 이후, 8월 중순 이후부터 유포가 잠시 주춤한 것으로 확인되고 있었다. 지속적으로 변화 상황을 모니터링 하던 중, 2022년 9월 8일부터는 유포 방식이 *.CPL (DLL형식)에서 *.JSE (스크립트) 형태로 변경된 것을 확인하였다. 매그니베르 랜섬웨어는 국내 사용자에 가장 큰 피해를 주는 랜섬웨어 중 하나로 활발하게 유포되고 있고, 백신의 탐지를 우회하기 위한 다양한 시도가 확인되고 있어 사용자의 각별한 주의가 요구된다. (참고: https://asec.ahnla…

닷넷 DLL 내부에는 매그니베르 쉘코드를 포함하고 있으며 쉘코드의 기능은 현재 실행 중인 다수의 프로세스에 매그니베르 쉘코드를 인젝션한다. [그림 3]은 매그니베르 쉘코드가 실행 중인 정상 프로세스에 쉘코드를 인젝션하는 코드 루틴이다. 결과적으로 [그림 3] 코드 루틴에 의해 사용자 시스템에서 실행 중인 정상 프로세스가 랜섬웨어 행위를 수행하게된다.

V3 제품에서는 최신 매그니베르 변형에 대해 AMSI 진단과 프로세스 메모리 진단 기능을 통해 매그니베르를 탐지 및 차단 하고 있다.

현재 안랩에서는 매그니베르 랜섬웨어에 대해 파일 진단 뿐만 아니라 다양한 탐지 방법으로 대응하고 있다. 따라서 사용자는 [V3 환경 설정] – [PC 검사 설정]에서 프로세스 메모리 진단 사용, 악성 스크립트 진단(AMSI) 사용 옵션을 활성화 하여 사용하는 것을 권고한다.

[IOC]
[MD5 (진단명)] – 자바 스크립트 파일 진단
– f75c520810b136867a66b1c24f610a5b (Ransomware/JS.Magniber.S1915 (2022.09.15.03))

[프로세스 메모리 진단]
– Ransomware/Win.Magniber.XM153 (2022.09.15.03)

[MD5 (진단명)] – AMSI 진단(닷넷 DLL)
– e59d7d6db1fcc8dfa57c244ebffc6de7 (Ransomware/Win.Magniber.R519329 (2022.09.15.02))

 

MD5

e59d7d6db1fcc8dfa57c244ebffc6de7

f75c520810b136867a66b1c24f610a5b