매그니베르 랜섬웨어의 재실행 기법(Magniber)

ASEC(AhnLab Security Emergency response Center)은 높은 유포건수를 보이는 매그니베르(Magniber) 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 설치 패키지 파일(.msi)로 유포되고 있다.

최근 매그니베르(Magniber) 랜섬웨어에 감염된 시스템에서 재감염되었다는 피해 사례가 보고되어 분석결과 시스템이 재시작 될 때마다 새로운 매그니베르를 다운로드 받아 암호화가 되도록 제작하여 더 많은 피해를 발생 시키고 있다.

아래 [그림] 은 MSI 파일 실행시,  msiexec.exe 에서 동작되는 인젝터 코드이다. 사용자 프로세스 리스트에 반복문(do-while)을 통해 차례대로 Magniber 랜섬웨어 페이로드를 주입한다.

[그림] msiexec.exe 로 동작되는 인젝터 코드(정상 프로세스에 랜섬웨어 인젝션)

아래 [그림]은 Inject_Magniber 함수 코드로 그림에 보이는 API를 통해 사용자 프로세스에 랜섬웨어를 주입한다.

[그림] Inject_Magniber 함수(CreateThreadEx 등 API를 통해 인젝션을 수행)

아래 [그림]은 정상프로세스에 주입된 Magniber Ransomware  코드로 랜덤 함수(Func_Random) 를 이용해 랜덤값을 발생시키고, 홀수의 경우 지속성 코드(Persistence_RegistryEdit) 가 수행되고 짝수의 경우는 재실행을 등록하지 않고 암호화를 시도한다. 재실행 등록은 암호화 사전 단계로 재실행을 위해 레지스트리에 등록 단계에서 차단될 경우 성공적인 암호화를 위해 재실행 등록 코드를 실행하지 않은 남은 절반의 프로세스를 이용하여 파일 암호화를 수행한다.

[그림] 정상프로세스에 주입된 Magniber Ransomware 코드

[그림] Persistence_RegistryEdit 함수의 지속성 루틴이다.

[그림] Persistence_RegistryEdit 함수의 지속성 루틴(레지스트리)

매그니베르 랜섬웨어가 레지스트리 Run키에 단순히 등록해서 차단되는 것을 우회하기 위해 등록하는 레지스트리는 단계는 다음과 같다.

1. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 키에 의미 없는 .3fr파일을 등록하고, 해당 경로에 더미 파일을 생성
   
   

   [그림] Run키에 등록한 레지스트리

2. .3fr파일이 실행될 경우 같이 실행될 레지스트리 등록
   
   

   [그림] 같이 실행될 레지스트리 등록

3. 등록된 레지스트리에 매그니베르를 랜섬웨어를 다운로드 하는 명령어를 저장
   
   

   [그림] 매그니베르 재실행 레지스트리 명령 등록

재부팅시 Run키에 등록된 .3fr 확장자를 실행하면서 추가로 동작하도록 지정된 레지스트리로 인해 재시작 할때마다 새로운 매그니베르를 다운로드 받아와 다시 암호화가 되고있다.

매그니베르 자동 수집 시스템 확인결과 2/20오후부터 매그니베르 유포가 중지된 것으로 확인되었지만 언제 다시 유포가 시작될지 모른다. 매그니베르는 최신 윈도우 버전의 크롬, 엣지 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있어 사용자가 잘못 입력한 도메인으로 인하여 이전 사례와 같이 랜섬웨어 감염으로 연결될 수 있기 때문에 각별한 주의가 필요하다.

[그림] 매그니베르 유포 현황

[IOC] [Magniber dll 생성 경로] – C:\Users\[UserName]\AppData\Local\Temp\MSI[랜덤4자리].tmp

[매그니베르 dll 파일진단] – Ransomware/Win.Magniber.R554966 (2023.01.30.01)

[매그니베르 msi 파일진단] – Ransomware/Win.Magniber (2023.01.30.01)

[매그니베르 dll MD5]

35c3743df22ea0de26aeac37a88da1c9
0723b125887e632bd2203680b75efb57
1484d68f70fca635fa36bdf6d0493fbf
fad8957047b31c13ac7ae4f72c4775d4
aa4c28fb3cd600745aa0abd616b2b128
c32d55881a9290267ddbe7005b12b6b8
bd952ad584866bcd4454a3385b615c74
be1fbf7bf36efcf84a604da24b93d97f
162d6827d206fbab285c09b518f30ec9

[매그니베르 msi MD5]

65ac438561b3a415876dff89d2804a13
35c3743df22ea0de26aeac37a88da1c9
0723b125887e632bd2203680b75efb57
1484d68f70fca635fa36bdf6d0493fbf
fad8957047b31c13ac7ae4f72c4775d4
aa4c28fb3cd600745aa0abd616b2b128
c32d55881a9290267ddbe7005b12b6b8
bd952ad584866bcd4454a3385b615c74
be1fbf7bf36efcf84a604da24b93d97f
162d6827d206fbab285c09b518f30ec9

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.