EDR을 활용한 Magniber 랜섬웨어 유포지 추적

안랩 ASEC은 지난 1월 Magniber 랜섬웨어 국내 유포 재개(1/28)를 공개한 이후에도 지속적으로 Magniber 유포가 확인되어 다양한 방식으로 차단을 하고 있다.

특히 당시 <a> 태그를 통해 도메인 차단을 우회하고 있는 것을 확인되었는데, 이를 탐지하기 위해 다른 방법을 통해 유포지 URL을 추적하여 대응하는 방안에 대해 연구하였다. 이를 개선하여 적용한 인프라에서 수집되는 정보를 바탕으로 유포지 차단, 파일 진단 등을 통해 피해가 발생하지 않도록 노력하고있다.

Magniber 랜섬웨어는 Anti virus 제품의 탐지를 우회하기 위해 지속적으로 변형을 유포하고 있어 실시간 대응을 어렵게 하고 있는만큼 추가 피해를 방지하기 위해 유입 단계에 대한 추적도 중요하다.

안랩 EDR 제품에서는 Magniber 랜섬웨어의 유포지로의 연결을 탐지하여 유입 경로를 추적하고 추가 피해를 발생하지 않도록 하는데 큰 도움이 된다.

[그림 1] EDR 의심 행위 탐지 화면(안랩 EDR)
[그림 2] Magniber 유포지 연결 탐지 다이어그램(안랩 EDR)

해당 호스트의 상세 정보를 확인하면 어떤 방식으로 Magniber 유포지로 연결이 되었는지 추적이 가능하다.

[그림 3] 호스트 상세정보를 통한 Magniber 유입경로 추적

EDR을 이용한 추적을 통해 검색엔진을 이용하여 자료를 검색하던 중 Magniber 유포지로 연결되는 광고 페이지에 접속한 것을 확인 할 수 있다.

[그림 4] 검색엔진을 통해 Magniber 유포 확인

도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포하는 방식 외에도 위와 같이 검색엔진에 노출된 검색결과에 접속하는 것만으로도 Magniber 유포지로 연결된다. 이에 검색 결과에서 일반적이지 않은 도메인으로 확인되는 경우에도 사용자의 주의가 필요하며 다운로드되는 파일(.msi or .zip)을 절대 실행하지 않도록 해야한다.

현재 안랩에서는 Magniber 랜섬웨어에 대해 아래와 같이 대응하고있다.

[IOC]

[Magniber dll 생성 경로] – C:\Users\[UserName]\AppData\Local\Temp\MSI[랜덤4자리].tmp

[매그니베르 dll 파일진단] – Ransomware/Win.Magniber.R557708 (2023.02.10.03)

[매그니베르 msi 파일진단] – Ransomware/Win.Magniber (2023.02.10.03)

[도메인 및 IP 차단]

217.182.162.62 datebar.space
51.68.238.215 doeor.email
45.32.170.38 flatthe.uno
51.254.147.171 viabugs.space

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

이 이미지는 대체 속성이 비어있습니다. 그 파일 이름은 ASEC_Blog_bn_800x300.png입니다

5 4 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments