안랩 ASEC 분석팀은 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식을 통해 활발하게 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어의 유포를 지속적인 모니터링 과정을 통해 신속하게 대응하고 있다. 이와 같은 지속적 대응을 통해 11/29일자 기준으로 매그니베르 랜섬웨어의 유포 중단 현황을 포착하였다.
최근 매그니베르 랜섬웨어 제작자는 확장자 변경, 인젝션, UAC 우회 기법 등의 다양한 백신 탐지 회피를 위한 시도를 수행하였으며, 파일, 메모리, AMSI 진단 등을 비롯한 ASEC 분석팀의 지속적인 대응 과정을 거쳐, 10월 이후 MSI 확장자 형태로 유포 방식이 고착화되었다.
이와 같은 매그니베르 랜섬웨어의 유포 방식의 변화에 따라, ASEC 분석팀은 MSI 형태로 유포되는 매그니베르 랜섬웨어 탐지를 주된 목적으로 하는 Ransomware/Win.Magniber.XG20, Ransomware/Win.Magniber.XG21의 진단을 비롯한 다양한 진단을 추가하였으며, 이와 같은 적극적 대응에 힘입어 본 포스팅 발행일 기점으로 매그니베르 랜섬웨어의 유포가 중단된 것을 확인하였다.
하단의 [그림 1]은 Ransomware/Win.Magniber.XG20, Ransomware/Win.Magniber.XG21에 해당되는 각각의 진단 추가에 따른 매그니베르 랜섬웨어 유포량의 변화 추이를 나타낸다. 먼저 Ransomware/Win.Magniber.XG20 진단의 경우, 진단 추가 이후 2022년 11월 15일을 기점으로 약 1일간 매그니베르 랜섬웨어의 유포가 일시적으로 중단되는 것을 포착하였다. 다음으로 Ransomware/Win.Magniber.XG21 진단의 경우, 진단 활성화 시점인 2022년 11월 22일을 기점으로 약 1일간 매그니베르 랜섬웨어 일시적 유포 중단 상태를 확인하였다. 이후 약 일주일 간 유포가 지속되었으나, 2022년 11월 29일을 기점으로 MSI 형태로 유포되는 매그니베르 랜섬웨어의 유포 중단되어, 현재까지 약 1주 간 유포가 중단된 상태이다.
[그림 1] Ransomware/Win.MagniberXG20, Ransomware/Win.Magniber.XG21 진단 추가에 따른 매그니베르 랜섬웨어 유포 현황
본 포스팅에서는 매그니베르 랜섬웨어의 유포 중단 정황과 ASEC 분석팀의 대응 과정을 중점으로 설명하였다. 매그니베르 랜섬웨어는 다양한 백신 우회 기법을 탑재하여 유포되며, 유포방식 또한 발 빠르게 변경하는 랜섬웨어다. 유포가 중단되는 정황은 역설적으로 새로운 유포방식으로의 변경이나 새로운 백신 우회기법 탑재를 위한 격동의 조짐일 수 있어 지속적인 감시가 필요하다.
[파일 진단]
- Ransomware/Win.Magniber.XG20 (2022.11.08.03)
- Ransomware/Win.Magniber.XG21 (2022.11.22.00)
[행위 진단]
- Ransom/MDP.Edit.M1947
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보