MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어

ASEC 분석팀은 지난 10월 13일 매그니베르(Magniber)랜섬웨어의 변화에 대한 글을 공개했다. 현재도 활발하게 유포되는 매그니베르 랜섬웨어는 백신의 탐지를 회피하기 위해 다양한 변화를 해왔다. 이 중 Microsoft 에서 제공하는 파일의 출처를 확인해주는 Mark of the Web(MOTW)을 우회한 것으로 확인된 2022.09.08 ~ 2022.09.29 기간 동안의 스크립트 형태에 대해 소개한다.

날짜확장자 실행
프로세스
암호화
프로세스
복구 환경
비활성화
프로세스
복구 환경 비활성화
(UAC 우회)
2022-05-07msimsiexec.exemsiexec.exeregsvr32.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\ms-settings\shell\open\command)
2022-06-14msimsiexec.exe실행 중인
프로세스
regsvr32.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-07-20cplrundll32.exerundll32.exeXX
2022-08-08cplrundll32.exe실행 중인
프로세스
wscript.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-08jsewscript.exe실행 중인
프로세스
wscript.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-16jswscript.exe실행 중인
프로세스
wscript.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-28wsfwscript.exe실행 중인
프로세스
wscript.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
2022-09-30msimsiexec.exe실행 중인
프로세스
wscript.exefodhelper.exe 실행시 참조 레지스트리 조작
(HKCU:\Software\Classes\(custom progID)\shell\open\command)
[표 1] 매그니베르(Magniber) 랜섬웨어의 날짜 별 주요 특징 (https://asec.ahnlab.com/ko/39929/)

[표 1] 은 매그니베르(Magniber) 랜섬웨어의 변화에 대해 작성한 ASEC 블로그의 내용이다. 이 중 2022.09.08 ~ 2022.09.29 에 유포 방식으로 공격자는 스크립트를 이용 했다. 사용자의 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 잘못 입력한 도메인으로 접속시 [그림 1]처럼 매그니베르 랜섬웨어가 다운로드 되었다.

[그림 1] 매그니베르(Magniber) 랜섬웨어의 타이포스쿼팅(Typosquatting) 유포방식

이렇게 다운로드된 파일은 Windows의 Mark of the Web(MOTW)기능에 의해 외부에서 가져온 파일로 식별된다[2]. Mark of the Web(MOTW)는 NTFS 파일 시스템에서 동작한다. 다운로드 URL은 NTFS 파일 시스템의 윈도우즈에서 Stream에 기록된다[3]. URL이 저장되는 Stream은 “파일명:Zone.Identifier:$DATA” 형태로 파일 경로에 생성되며 notepad를 통해 간단히 확인할 수 있다. MOTW 기능에 의해 식별된 다운로드된 파일은 실행하게 되면 경고 메시지가 발생한다.

[그림 2] Mark of the Web(MOTW) 로 기록된 파일

이러한 Mark of the Web(MOTW) 실행 차단을 우회하기 위해 매그니베르(Magniber)랜섬웨어는 2022.09.08 ~ 2022.09.29 기간동안 [그림 3]처럼 스크립트 하단에 디지털 서명을 사용했다. 스크립트의 디지털 서명[4]은 스크립트를 작성한 후 서명을 통해 스크립트가 변경되지 않았음을 보장하고 작성한 사람을 확인할 수 있는 방법을 제공한다. bleepingcomputer 에 작성된 글[1]에 따르면 매그니베르(Magniber)랜섬웨어의 스크립트 하단에 포함된 디지털 서명은 MOTW 를 우회하기 위한 내용임을 확인할 수 있다.

[그림 3] 매그니베르(Magniber)랜섬웨어 유포 스크립트(wsf, js, jse)

현재 매그니베르(Magniber)랜섬웨어는 스크립트 형태로 유포되지 않고 MSI 확장자로 유포되고 있다. 하지만 진단 회피를 위해 잦은 기법변경을 하기 때문에 사용자의 각별한 주의가 필요하다. 또한 신뢰하지 않은 사이트에서 받은 파일은 실행에 주의가 필요하다.

현재 안랩에서는 매그니베르 랜섬웨어에 대해 파일 진단 뿐만 아니라 다양한 탐지 방법으로 대응하고 있다. 따라서 사용자는 [V3 환경 설정] – [PC 검사 설정]에서 프로세스 메모리 진단 사용악성 스크립트 진단(AMSI) 사용 옵션을 활성화 하여 사용하는 것을 권고한다.

[IOC]
b8e94ffbfc560d56e28c10073b911d50
ba7a32f15227c5d30b648ba407e73c80
2da51943a0ea7699b01436eaa01f7a59

스크립트 파일 진단
Ransomware/JS.Magniber (2022.09.08.02)
Ransomware/WSF.Magniber (2022.09.28.02)

프로세스 메모리 진단
Ransomware/Win.Magniber.XM153 (2022.09.15.03)

AMSI 진단(닷넷 DLL)
Ransomware/Win.Magniber.R519329 (2022.09.15.02)

참고
[1]Exploited Windows zero-day lets JavaScript files bypass security warnings
[2]Macros from the internet will be blocked by default in Office
[3]5.1 NTFS Streams
[4]Digitally Signing Scripts

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 2 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments