ASEC 분석팀에서는 지난 11월 7일 MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어에 대해 블로그를 통해 소개한 바 있다. 이 후 Zone.Identifier 에 남겨진 데이터를 활용하여 매그니베르 유포에 활용되는 유포지에 대한 조사를 진행했다.
오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 잘못 입력한 도메인으로 접속시 광고페이지를 거쳐 매그니베르 랜섬웨어인 msi 파일이 다운로드 되었다. 이때 함께 생성된 Zone.Identifier 를 확인해보면, 다음과 같이 파일이 다운로드 된 URL에 대해 확인이 가능하다.

[그림 1] 매그니베르(Magniber) 수집 당시 확인한 Zone.Identifier
이를 바탕으로 수집한 Domain 과 IP를 조사한 결과 10월~11월 두 달 동안 약 215개의 IP와 511개의 Domain 이 사용된 것을 확인 할 수 있었다.

[그림 2] 매그니베르(Magniber) 유포에 사용된 IP와 도메인
유포에 사용되는 도메인이 다양한 만큼 다수의 도메인 등록 업체를 통해 이를 등록하여 사용하고 있는 것으로 확인된다.
현재 안랩에서는 확보된 IP 와 URL 에 대해 차단을 진행하여 V3 제품에서 유해 사이트 차단 사용 옵션을 활성화 하면, 매그니베르 유포지 연결이 차단된다.

[그림 3] 매그니베르(Magniber) 유포지 차단
IP와 Domain 특성상 다른 정상적인 사용자가 해당 자원을 할당받아 사용하게 될 수도 있는데 이럴 경우 고객센터를 통해 접수하면 조치가 가능하다.
[IOC]
IP / Domain
45.82.87.54 hidwant.quest
45.82.86.103 betdate.uno
192.161.184.122 halldie.fit
192.161.184.121 putdear.email
45.82.86.93 lowroll.uno
45.82.86.107 lossend.casa
209.94.59.32 putdear.email
45.82.86.93 losthow.monster
192.161.184.121 perwish.email
209.94.59.32 perwish.email
192.161.184.110 owered.space
192.161.184.110 longate.monster
192.161.184.122 dofight.monster
45.82.86.97 askills.quest
192.161.184.86 logharm.space
192.161.184.100 spitecs.com
192.161.184.86 csmoved.space
…등
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 국내 매그니베르 유포에 활용되는 도메인 […]