ASEC 분석팀은 지난 9월 8일자 블로그를 통해 매그니베르 변형에 대한 내용을 소개하였다. 9월 16일부터는 매그니베르 랜섬웨어 스크립트가 자바 스크립트 인 것은 동일하지만, 확장자가 기존 *.jse에서 *.js로 변경되었다. 매그니베르가 9월 8일을 기점으로 자바 스크립트로 바뀌면서 동작 방식 또한 기존과 달라졌다. 현재 유포 중인 자바 스크립트 파일 내부에는 [그림 2]와 같은 닷넷 DLL이 포함되어 매그니베르 쉘코드를 실행 중인 프로세스에 인젝션 한다. 최신 매그니베르의 전체적인 동작 흐름은 [그림 1]과 같다.
닷넷 DLL 내부에는 매그니베르 쉘코드를 포함하고 있으며 쉘코드의 기능은 현재 실행 중인 다수의 프로세스에 매그니베르 쉘코드를 인젝션한다. [그림 3]은 매그니베르 쉘코드가 실행 중인 정상 프로세스에 쉘코드를 인젝션하는 코드 루틴이다. 결과적으로 [그림 3] 코드 루틴에 의해 사용자 시스템에서 실행 중인 정상 프로세스가 랜섬웨어 행위를 수행하게된다.
V3 제품에서는 최신 매그니베르 변형에 대해 AMSI 진단과 프로세스 메모리 진단 기능을 통해 매그니베르를 탐지 및 차단 하고 있다.
현재 안랩에서는 매그니베르 랜섬웨어에 대해 파일 진단 뿐만 아니라 다양한 탐지 방법으로 대응하고 있다. 따라서 사용자는 [V3 환경 설정] – [PC 검사 설정]에서 프로세스 메모리 진단 사용, 악성 스크립트 진단(AMSI) 사용 옵션을 활성화 하여 사용하는 것을 권고한다.
[IOC]
[MD5 (진단명)] – 자바 스크립트 파일 진단
– f75c520810b136867a66b1c24f610a5b (Ransomware/JS.Magniber.S1915 (2022.09.15.03))
[프로세스 메모리 진단]
– Ransomware/Win.Magniber.XM153 (2022.09.15.03)
[MD5 (진단명)] – AMSI 진단(닷넷 DLL)
– e59d7d6db1fcc8dfa57c244ebffc6de7 (Ransomware/Win.Magniber.R519329 (2022.09.15.02))
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보