Posted By ASEC , 2022년 10월 13일

빠르게 변화하고 있는 매그니베르(Magniber) 랜섬웨어

매그니베르(Magniber) 랜섬웨어는 최근 빠르게 변화하고 있다. 확장자 변경부터, 인젝션, UAC 우회 기법까지 최근 매그니베르 랜섬어는 백신의 탐지를 회피하기 위해 빠르게 변형을 보이고 있다. 본 내용에서 기존에 파악되었던 분석내용을 통해 최근 몇 달간 매그니베르(Magniber) 랜섬웨어의 변화를 정리하였다.

[표 1]은 매그니베르(Magniber) 랜섬웨어의 날짜별 유포 파일의 주요 특징이다. 4개월간 msi, cpl, jse, js, wsf 5가지 확장자로 유포되었고, 최근 들어 9월은 4차례(cpl -> jse -> js -> wsf -> msi)의 잦은 확장자 변경이 이루어졌다.

날짜	확장자	실행 프로세스	암호화 프로세스	복구 환경 비활성화 프로세스	복구 환경 비활성화 (UAC 우회)
2022-05-07	msi	msiexec.exe	msiexec.exe	regsvr32.exe	fodhelper.exe 실행시 참조 레지스트리 조작 (HKCU:\Software\Classes\ms-settings\shell\open\command)
2022-06-14	msi	msiexec.exe	실행 중인 프로세스	regsvr32.exe	fodhelper.exe 실행시 참조 레지스트리 조작 (HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-07-20	cpl	rundll32.exe	rundll32.exe	X	X
2022-08-08	cpl	rundll32.exe	실행 중인 프로세스	wscript.exe	fodhelper.exe 실행시 참조 레지스트리 조작 (HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-08	jse	wscript.exe	실행 중인 프로세스	wscript.exe	fodhelper.exe 실행시 참조 레지스트리 조작 (HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-16	js	wscript.exe	실행 중인 프로세스	wscript.exe	fodhelper.exe 실행시 참조 레지스트리 조작 (HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-28	wsf	wscript.exe	실행 중인 프로세스	wscript.exe	fodhelper.exe 실행시 참조 레지스트리 조작 (HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-30	msi	msiexec.exe	실행 중인 프로세스	wscript.exe	fodhelper.exe 실행시 참조 레지스트리 조작 (HKCU:\Software\Classes\(custom progID)\shell\open\command)

[표 1] 매그니베르(Magniber) 랜섬웨어의 날짜 별 주요 특징

[그림 1]은 매그니베르(Magniber) 랜섬웨어의 2022-05-07 유포 파일이다. MSI 확장자로 유포되었으며 msiexec.exe로 실행되어 msiexec.exe 가 파일 암호화 행위를 직접 수행하였다. 암호화 후, 윈도우 10 복구 환경을 비활성화하는 행위를 수행한다. 복구 환경 비활성화 명령의 원활한 수행을 위해 UAC 우회 기법을 활용하며, 해당 기법은 높은 권한으로 실행되는 fodhelper.exe 가 실행 시 커맨드로 참조하는 레지스트리 값(HKCU:\Software\Classes\ms-settings\shell\open\command) 을 변경하여 UAC 우회를 시도하였다.

[그림 1] 매그니베르(Magniber) 랜섬웨어 (2022-05-07 유포)

이후 6월 14일 샘플은 [그림 2]와 같이 랜섬웨어의 주요 행위인 파일 암호화 행위의 주체를 다양하게 변경하기 위해 정상 프로세스에 랜섬웨어 페이로드를 주입하도록 변경된 모습을 보였다. 또한 윈도우 10 복구 환경을 비활성화를 위한 UAC 우회 기법이 ProgID를 활용하여 가변적인 레지스트리 값(HKCU:\Software\Classes\(custom progID)\shell\open\command) 을 변경하여 fodhelper.exe로 부터 참조돼 UAC 우회를 시도한다. 이는 고정된 레지스트리 값(HKCU:\Software\Classes\ms-settings\shell\open\command) 변경보다 탐지 회피에 유용하다.

[그림 2] 매그니베르(Magniber) 랜섬웨어 (2022-06-14 유포)

[그림 3]은 7월 20일 유포 파일이다. 그림과 같이 MSI(Windows 설치 패키 파일)에서 CPL(Windows Control Panel Item) 파일로 포맷이 변경됨이 확인되었다. 당시 수집된 파일의 암호화 주체는 rundll32.exe였으며, 윈도우 10 복구 환경을 비활성화 행위는 발견되지 않았다.

매그니베르(Magniber) 랜섬웨어 변경(*.msi -> *.cpl) – 7/20일자 – ASEC BLOG

2022년 2월부터 매그니베르 랜섬웨어는 IE 브라우저 취약점이 아닌 Windows 설치 패키지 파일(.msi) 형태로 유포되고 있었다. 유효한 인증서를 포함하고 있으며, MSI 파일 내부에 DLL 형태로 유포되는 상황에서 7/20(수)부터는 MSI 파일이 아닌 CPL 확장자(Windows Control Panel Item)로 유포되는 것이 확인되었다. 위 그림과 같이 기존 MSI 파일 유포 현황이 감소하고 있는 것을 보아, 매그니베르 랜섬웨어 공격자는 MSI파일에서 CPL파일 유포로로 전환한 것을 확인할 수 있다. (2022/07…

[그림 3] 매그니베르(Magniber) 랜섬웨어 (2022-07-20 유포)

8월 8일 유포 파일에서는 인젝션 기능이 추가되어 암호화 주체 범위가 실행 중인 프로세스로 확장되었다. 또한 윈도우 10 복구 환경을 비활성화 명령이 추가되었다. UAC 우회 방식으로는 ProgID를 활용하여 가변적인 레지스트리 키(HKCU:\Software\Classes\(custom progID)\shell\open\command) 을 변경하는 방법이 확인되었다. 추가적인 특징으로 레지스트리 값인 명령이 기존 regsvr32 실행 구문이 아닌 wscript 실행 구문으로 변경되었다. 이로 윈도우 10 복구 환경을 비활성화 명령의 수행 주체가 wscript.exe로 실행되었다.

[그림 4] 매그니베르(Magniber) 랜섬웨어 (2022-08-08 유포)

[그림 5]는 9월 8일 유포 파일로 한 달 새 다시한번 포맷 변경이 포착되었다. 기존 CPL 형태에서 JSE(스크립트) 형태로 변경되어, 최초 실행 프로세스는 wscript.exe로 시작되고 wscript.exe 내부의 페이로드가 랜섬웨어를 실행 중인 프로세스에 주입하여, 파일 암호화는 실행 중인 임의 프로세스로부터 수행되는 특징을 보였다. [표 1]과 같이, 공격자는 9월 8일(.jse)을 기점으로 9월 16일(.js), 그리고 9월 28일(.wsf) 빠른 주기로 확장자를 변경하였다.

매그니베르(Magniber) 랜섬웨어 변경(*.cpl -> *.jse) – 9/8일자 – ASEC BLOG

7월 20일에 MSI 형식에서 CPL 형식으로 유포방식을 변경한 이후, 8월 중순 이후부터 유포가 잠시 주춤한 것으로 확인되고 있었다. 지속적으로 변화 상황을 모니터링 하던 중, 2022년 9월 8일부터는 유포 방식이 *.CPL (DLL형식)에서 *.JSE (스크립트) 형태로 변경된 것을 확인하였다. 매그니베르 랜섬웨어는 국내 사용자에 가장 큰 피해를 주는 랜섬웨어 중 하나로 활발하게 유포되고 있고, 백신의 탐지를 우회하기 위한 다양한 시도가 확인되고 있어 사용자의 각별한 주의가 요구된다. (참고: https://asec.ahnla…

매그니베르(Magniber) 랜섬웨어 변경 (*.js -> *.wsf) – 09/28 – ASEC BLOG

ASEC 분석팀은 지난 9월 8일 매그니베르 랜섬웨어가 CPL 확장자 에서 JSE 확장자로 변경됨을 블로그를 통해 소개한 바 있다. 공격자는 9월 8일 이후에도 지난 9월 16일에는 JSE 확장자에서 JS 확장자로 변경하였다. 그리고 금일 공격자는 JS 확장자에서 WSF 확장자로 유포 방식을 변경하였다. 공격자는 V3와 같은 백신 제품의 다양한 탐지 방식을 회피하기 위해 지속적으로 변형을 유포하고 있는 것으로 보인다. 금일 변경된 WSF 유포 방식은 [그림 1], [그림 2]와 같이 크롬(Chrome) 및 엣지(Edge) 브라우저…

[그림 5] 매그니베르(Magniber) 랜섬웨어 (2022-09-08 유포)

9월 30일 유포 파일에서는 기존에 사용됐던 MSI 형태로 재차 변경되었다. 언뜻 6월 14일 유포 파일과 유사하지만, 윈도우 10 복구 환경을 비활성화 명령 커맨드는 기존(regsvr32) 과 다른 wscript를 유지하는 모습이 확인되었다.

[그림 6] 매그니베르(Magniber) 랜섬웨어 (2022-09-30 유포)

매그니베르(Magniber) 랜섬웨어의 기간별 유포 파일을 확인해 보았다. 9월 한 달만 4차례(cpl -> jse -> js -> wsf -> msi) 의 포맷 변경이 확인되었다. 또한 진단 회피를 위해 인젝션, UAC 우회, 윈도우 10 복구 환경을 비활성화 기법에도 잦은 변경을 보였다.

현재 안랩에서는 매그니베르 랜섬웨어에 대해 파일 진단 뿐만 아니라 다양한 탐지 방법으로 대응하고 있다. 따라서 사용자는 [V3 환경 설정] – [PC 검사 설정]에서 프로세스 메모리 진단 사용, 악성 스크립트 진단(AMSI) 사용 옵션을 활성화 하여 사용하는 것을 권고한다.

이처럼 빠르게 변화하는 매그니베르(Magniber) 랜섬웨어는 주로 크롬, 엣지 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있다. 따라서 사용자가 잘못 입력한 도메인으로 인하여 이번 사례와 같이 랜섬웨어 유포로 연결될 수 있기 때문에 각별한 주의가 필요하다.

[IOC]
250a23219a576180547734430d71b0e6
d675958d39e44b310e4e57f4e4f9bc12
0fa83ec90f3f0d0cbab106e69f6dce52
2c54fad7d4632a1a94608444cc2acf38
7b76b698e90df66d4f4bbecf24c95325
8594ed7991a1a041764344a5713ef7d4

스크립트 파일 진단
Ransomware/WSF.Magniber (2022.09.28.02)
Ransomware/VBA.Magniber.S1928 (2022.10.05.00)
Ransomware/VBA.Magniber.S1939 (2022.10.13.00)

프로세스 메모리 진단
Ransomware/Win.Magniber.XM153 (2022.09.15.03)

AMSI 진단(닷넷 DLL)
Ransomware/Win.Magniber.R528971 (2022.10.14.00)

참고
^[1]Utilizing Programmatic Identifiers (ProgIDs) for UAC Bypasses

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.