국내 매그니베르 유포에 활용되는 도메인
ASEC 분석팀에서는 지난 11월 7일 MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어에 대해 블로그를 통해 소개한 바 있다. 이 후 Zone.Identifier 에 남겨진 데이터를 활용하여 매그니베르 유포에 활용되는 유포지에 대한 조사를 진행했다.
오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 잘못 입력한 도메인으로 접속시 광고페이지를 거쳐 매그니베르 랜섬웨어인 msi 파일이 다운로드 되었다. 이때 함께 생성된 Zone.Identifier 를 확인해보면, 다음과 같이 파일이 다운로드 된 URL에 대해 확인이 가능하다.
[그림 1] 매그니베르(Magniber) 수집 당시 확인한 Zone.Identifier
이를 바탕으로 수집한 Domain 과 IP를 조사한 결과 10월~11월 두 달 동안 약 215개의 IP와 511개의 Domain 이 사용된 것을 확인 할 수 있었다.
[그림 2] 매그니베르(Magniber) 유포에 사용된 IP와 도메인
유포에 사용되는 도메인이 다양한 만큼 다수의 도메인 등록 업체를 통해 이를 등록하여 사용하고 있는 것으로 확인된다.
현재 안랩에서는 확보된 IP 와 URL 에 대해 차단을 진행하여 V3 제품에서 유해 사이트 차단 사용 옵션을 활성화 하면, 매그니베르 유포지 연결이 차단된다.
[그림 3] 매그니베르(Magniber) 유포지 차단
IP와 Domain 특성상 다른 정상적인 사용자가 해당 자원을 할당받아 사용하게 될 수도 있는데 이럴 경우 고객센터를 통해 접수하면 조치가 가능하다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
