빠르게 변화하고 있는 매그니베르(Magniber) 랜섬웨어

매그니베르(Magniber) 랜섬웨어는 최근 빠르게 변화하고 있다. 확장자 변경부터, 인젝션, UAC 우회 기법까지 최근 매그니베르 랜섬어는 백신의 탐지를 회피하기 위해 빠르게 변형을 보이고 있다. 본 내용에서 기존에 파악되었던 분석내용을 통해 최근 몇 달간 매그니베르(Magniber) 랜섬웨어의 변화를 정리하였다.

[표 1]은 매그니베르(Magniber) 랜섬웨어의 날짜별 유포 파일의 주요 특징이다. 4개월간 msi, cpl, jse, js, wsf 5가지 확장자로 유포되었고, 최근 들어 9월은 4차례(cpl -> jse -> js -> wsf -> msi)의 잦은 확장자 변경이 이루어졌다.

날짜확장자 실행
프로세스
암호화
프로세스
복구 환경
비활성화
프로세스
복구 환경 비활성화
(UAC 우회)
2022-05-07msimsiexec.exemsiexec.exeregsvr32.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\ms-settings\shell\open\command)
2022-06-14msimsiexec.exe실행 중인
프로세스
regsvr32.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-07-20cplrundll32.exerundll32.exeXX
2022-08-08cplrundll32.exe실행 중인
프로세스
wscript.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-08jsewscript.exe실행 중인
프로세스
wscript.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-16jswscript.exe실행 중인
프로세스
wscript.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-28wsfwscript.exe실행 중인
프로세스
wscript.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-30msimsiexec.exe실행 중인
프로세스
wscript.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
[표 1] 매그니베르(Magniber) 랜섬웨어의 날짜 별 주요 특징

[그림 1]은 매그니베르(Magniber) 랜섬웨어의 2022-05-07 유포 파일이다. MSI 확장자로 유포되었으며 msiexec.exe로 실행되어 msiexec.exe 가 파일 암호화 행위를 직접 수행하였다. 암호화 후, 윈도우 10 복구 환경을 비활성화하는 행위를 수행한다. 복구 환경 비활성화 명령의 원활한 수행을 위해 UAC 우회 기법을 활용하며, 해당 기법은 높은 권한으로 실행되는 fodhelper.exe 가 실행 시 커맨드로 참조하는 레지스트리 값(HKCU:\Software\Classes\ms-settings\shell\open\command) 을 변경하여 UAC 우회를 시도하였다.

[그림 1] 매그니베르(Magniber) 랜섬웨어 (2022-05-07 유포)

이후 6월 14일 샘플은 [그림 2]와 같이 랜섬웨어의 주요 행위인 파일 암호화 행위의 주체를 다양하게 변경하기 위해 정상 프로세스에 랜섬웨어 페이로드를 주입하도록 변경된 모습을 보였다. 또한 윈도우 10 복구 환경을 비활성화를 위한 UAC 우회 기법이 ProgID를 활용하여 가변적인 레지스트리 값(HKCU:\Software\Classes\(custom progID)\shell\open\command) 을 변경하여 fodhelper.exe로 부터 참조돼 UAC 우회를 시도한다. 이는 고정된 레지스트리 값(HKCU:\Software\Classes\ms-settings\shell\open\command) 변경보다 탐지 회피에 유용하다.

[그림 2] 매그니베르(Magniber) 랜섬웨어 (2022-06-14 유포)

[그림 3]은 7월 20일 유포 파일이다. 그림과 같이 MSI(Windows 설치 패키 파일)에서 CPL(Windows Control Panel Item) 파일로 포맷이 변경됨이 확인되었다. 당시 수집된 파일의 암호화 주체는 rundll32.exe였으며, 윈도우 10 복구 환경을 비활성화 행위는 발견되지 않았다.

[그림 3] 매그니베르(Magniber) 랜섬웨어 (2022-07-20 유포)

8월 8일 유포 파일에서는 인젝션 기능이 추가되어 암호화 주체 범위가 실행 중인 프로세스로 확장되었다. 또한 윈도우 10 복구 환경을 비활성화 명령이 추가되었다. UAC 우회 방식으로는 ProgID를 활용하여 가변적인 레지스트리 키(HKCU:\Software\Classes\(custom progID)\shell\open\command) 을 변경하는 방법이 확인되었다. 추가적인 특징으로 레지스트리 값인 명령이 기존 regsvr32 실행 구문이 아닌 wscript 실행 구문으로 변경되었다. 이로 윈도우 10 복구 환경을 비활성화 명령의 수행 주체가 wscript.exe로 실행되었다.

[그림 4] 매그니베르(Magniber) 랜섬웨어 (2022-08-08 유포)

[그림 5]는 9월 8일 유포 파일로 한 달 새 다시한번 포맷 변경이 포착되었다. 기존 CPL 형태에서 JSE(스크립트) 형태로 변경되어, 최초 실행 프로세스는 wscript.exe로 시작되고 wscript.exe 내부의 페이로드가 랜섬웨어를 실행 중인 프로세스에 주입하여, 파일 암호화는 실행 중인 임의 프로세스로부터 수행되는 특징을 보였다. [표 1]과 같이, 공격자는 9월 8일(.jse)을 기점으로 9월 16일(.js), 그리고 9월 28일(.wsf) 빠른 주기로 확장자를 변경하였다.

[그림 5] 매그니베르(Magniber) 랜섬웨어 (2022-09-08 유포)

9월 30일 유포 파일에서는 기존에 사용됐던 MSI 형태로 재차 변경되었다. 언뜻 6월 14일 유포 파일과 유사하지만, 윈도우 10 복구 환경을 비활성화 명령 커맨드는 기존(regsvr32) 과 다른 wscript를 유지하는 모습이 확인되었다.

[그림 6] 매그니베르(Magniber) 랜섬웨어 (2022-09-30 유포)

매그니베르(Magniber) 랜섬웨어의 기간별 유포 파일을 확인해 보았다. 9월 한 달만 4차례(cpl -> jse -> js -> wsf -> msi) 의 포맷 변경이 확인되었다. 또한 진단 회피를 위해 인젝션, UAC 우회, 윈도우 10 복구 환경을 비활성화 기법에도 잦은 변경을 보였다.

현재 안랩에서는 매그니베르 랜섬웨어에 대해 파일 진단 뿐만 아니라 다양한 탐지 방법으로 대응하고 있다. 따라서 사용자는 [V3 환경 설정] – [PC 검사 설정]에서 프로세스 메모리 진단 사용악성 스크립트 진단(AMSI) 사용 옵션을 활성화 하여 사용하는 것을 권고한다.

이처럼 빠르게 변화하는 매그니베르(Magniber) 랜섬웨어는 주로 크롬, 엣지 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있다. 따라서 사용자가 잘못 입력한 도메인으로 인하여 이번 사례와 같이 랜섬웨어 유포로 연결될 수 있기 때문에 각별한 주의가 필요하다.

[IOC]
250a23219a576180547734430d71b0e6
d675958d39e44b310e4e57f4e4f9bc12
0fa83ec90f3f0d0cbab106e69f6dce52
2c54fad7d4632a1a94608444cc2acf38
7b76b698e90df66d4f4bbecf24c95325
8594ed7991a1a041764344a5713ef7d4

스크립트 파일 진단
Ransomware/WSF.Magniber (2022.09.28.02)
Ransomware/VBA.Magniber.S1928 (2022.10.05.00)
Ransomware/VBA.Magniber.S1939 (2022.10.13.00)

프로세스 메모리 진단
Ransomware/Win.Magniber.XM153 (2022.09.15.03)

AMSI 진단(닷넷 DLL)
Ransomware/Win.Magniber.R528971 (2022.10.14.00)

참고
[1]Utilizing Programmatic Identifiers (ProgIDs) for UAC Bypasses

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 2 votes
별점 주기
guest

2 댓글
Inline Feedbacks
View all comments
trackback

[…] [표 1] 매그니베르(Magniber) 랜섬웨어의 날짜 별 주요 특징 (https://asec.ahnlab.com/ko/39929/) […]

trackback

[…] 매그니베르 랜섬웨어 유포 방식의 변화(cpl -> jse -> js -> wsf -> msi) […]