Magniber 랜섬웨어 국내 유포 재개(1/28)

ASEC 분석팀은 01월 28일 오전 매그니베르 랜섬웨어가 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. 아래 그림과 같이 자사 로그 시스템을 통해 확인한 결과 1월 27일을 기점으로 유포량이 증가됨을 확인할 수 있었다.

• MS.Update.Center.Security.KB17347418.msi
• MS.Update.Center.Security.KB2562020.msi
• MS.Update.Center.Security.KB44945726.msi

[그림 1] 자사 로그 시스템을 통해 확인된 Magniber 랜섬웨어 유포 증가

 

현재 매그니베르가 유포되는 사이트에서는 과거 공유된 MOTW(Mark of the Web)를 이용한 도메인 차단을 우회하기 위해 <a> 태그를 이용하여 다운로드 데이터를 추가하는 방식으로 유포하고있다.

국내 매그니베르 유포에 활용되는 도메인

<a> 태그의 href 를 base64 로 인코딩된 매그니베르 파일(zip or msi)을 스크립트로 추가하여 다운로드 받을 경우 HostUrl 에 about:internet 으로 남는데, 이는 도메인 차단을 우회하기 위해 추가한 것으로 확인된다.

[그림 2] <a> 태그를 이용한 MOTW 우회

 

위와 같이 매그니베르는 파일 암호화를 위해 방해되는 부분은 모두 제거하고 유포하려고 한다.
시그니처 기반의 Anti Virus 제품의 파일 기반 탐지를 우회는 말할 것도 없이 실시간으로 변형을 제작하여 유포한다.

[그림 3]바이러스 토탈에 수집되지 않은 Magniber악성코드

APT탐지 솔루션인 MDS제품은 해당 파일이 유입될 경우 MDS Agent에 의해 먼저 샌드박스 환경에서 실행하여 해당 파일이 악성인지 확인한다.

[그림 4] Magniber 랜섬웨어 탐지화면(안랩 MDS)

[그림 5] MDS 디코이 변조 탐지 화면(안랩 MDS)

의심스럽게 유입된 msi파일을 MDS는 샌드박스 환경내에서 파일 암호화 여부를 판단하여 랜섬웨어로 진단하여 사용자에게 해당 파일이 악성임을 알려준다.

Endpoint에서 의심 행위를 기록/탐지하는 EDR 또한 매그니베르 유포(.zip)파일을 다운로드 하여 실행할 경우 아래와 같이 랜섬웨어로 탐지하고 있다.

[그림 6] EDR 의심 행위 탐지 화면(안랩 EDR)

[그림 7] 브라우저로 다운로드 된 zip파일 기록(안랩 EDR)

[그림 8] 의심 파일 유입 경로(안랩 EDR)

[그림 9] 디코이 탐지 다이어그램(안랩 EDR)

[그림 10] 볼륨 쉐도 카피 삭제 탐지(안랩 EDR)

 

다운로드 된 MSI 패키지 파일은 정상적인 윈도우 업데이트에도 사용되는 일종의 설치 프레임워크이다. 매그니베르는 MSI 패키지 파일 내부에 매그니베르 랜섬웨어 DLL을 포함하여 유포하였다.

[그림 11] dkbqlodrizgs 바이너리(DLL) 포함 패키지

 

MSI는 Custom Action 테이블을 통해 DLL의 익스포트 함수 호출 기능을 기본적으로 제공한다. 매그니베르 공격자는 이점을 악용하여 MSI 실행 시 매그니베르 랜섬웨어 DLL의 익스포트 함수가 실행되도록 하였다.

Custom Actions – Win32 apps

The Windows Installer provides many built-in actions for performing the installation process. For a list of these actions, see the Standard Actions Reference.

실행된 DLL에 의해 파일 암호화 및 볼륨쉐도우 삭제 행위를 수행하며 사용자 PC를 랜섬웨어에 감염시킨다.

[그림 12] CustomAction 내 명시된 dkbqlodrizgs 의 rsmvmdibw 익스포트 함수 호출

 

현재 매그니베르는 최신 윈도우 버전의 크롬, 엣지 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있다. 따라서 사용자가 잘못 입력한 도메인으로 인하여 이번 사례와 같이 랜섬웨어 유포로 연결될 수 있기 때문에 각별한 주의가 필요하다.

현재 안랩에서는 매그니베르 랜섬웨어에 대해 아래와 같이 대응하고있다.

[IOC] [Magniber dll 생성 경로] – C:\Users\[UserName]\AppData\Local\Temp\MSI[랜덤4자리].tmp

[매그니베르 dll 파일진단] – Ransomware/Win.Magniber.R554966 (2023.01.30.01)

[매그니베르 msi 파일진단] – Ransomware/Win.Magniber (2023.01.30.01)

 

MD5

0723b125887e632bd2203680b75efb57

1484d68f70fca635fa36bdf6d0493fbf

162d6827d206fbab285c09b518f30ec9

35c3743df22ea0de26aeac37a88da1c9

65ac438561b3a415876dff89d2804a13