Magniber 랜섬웨어의 유포 중단 (8/25 이후)
AhnLab Security Emergency response Center(ASEC)은 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식을 통해 활발하게 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어의 유포를 지속적인 모니터링 과정을 통해 신속하게 대응하고 있다. 8/3 매그니베르가 사용하는 인젝션 기법의 차단룰 배포 이후 아래와 같이 블로그를 공개하였다. 매그니베르 랜섬웨어의 인젝션 V3 탐지 차단(Direct Syscall Detection) – ASEC BLOG 매그니베르(Magniber) 랜섬웨어는 높은
매그니베르 랜섬웨어의 인젝션 V3 탐지 차단(Direct Syscall Detection)
매그니베르(Magniber) 랜섬웨어는 높은 유포건수를 보이며 꾸준히 유포되고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 보안 업데이트 패키지(ex_ERROR.Center.Security.msi)로 파일명을 위장해 유포되고 있다. 현재 매그니베르 랜섬웨어(Magniber)는 실행중인 프로세스에 랜섬웨어를 주입하여 실행중인 프로세스가 사용자의
매그니베르 랜섬웨어의 재실행 기법(Magniber)
ASEC(AhnLab Security Emergency response Center)은 높은 유포건수를 보이는 매그니베르(Magniber) 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 설치 패키지 파일(.msi)로 유포되고 있다. 최근 매그니베르(Magniber) 랜섬웨어에 감염된 시스템에서 재감염되었다는 피해
EDR을 활용한 Magniber 랜섬웨어 유포지 추적
안랩 ASEC은 지난 1월 Magniber 랜섬웨어 국내 유포 재개(1/28)를 공개한 이후에도 지속적으로 Magniber 유포가 확인되어 다양한 방식으로 차단을 하고 있다. Magniber 랜섬웨어 국내 유포 재개(1/28) 특히 당시 <a> 태그를 통해 도메인 차단을 우회하고 있는 것을 확인되었는데, 이를 탐지하기 위해 다른 방법을 통해 유포지 URL을 추적하여 대응하는 방안에 대해 연구하였다. 이를
Magniber 랜섬웨어 국내 유포 재개(1/28)
ASEC 분석팀은 01월 28일 오전 매그니베르 랜섬웨어가 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. 아래 그림과 같이 자사 로그 시스템을 통해 확인한 결과 1월 27일을 기점으로 유포량이 증가됨을 확인할 수 있었다. MS.Update.Center.Security.KB17347418.msi MS.Update.Center.Security.KB2562020.msi MS.Update.Center.Security.KB44945726.msi 현재 매그니베르가 유포되는
Magniber Ransomware 12/9 유포 시작 코로나 관련 파일명 포함 유포 주의!
안랩 ASEC 분석팀은 Magniber Ransomware가 2022.12.09에 재유포 되는 것을 확인하였다. 기존에 보안 업데이트 관련 파일명을 포함하여 코로나가 기승을 부리는 시기에 Magniber Ransomware도 코로나 관련 파일명을 포함하여 유포되는 것을 확인하였다. C:\Users\$USERS\Downloads\COVID.Warning.Readme.2f4a204180a70de60e674426ee79673f.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.502ef18830aa097b6dd414d3c3edd5fb.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.a179a9245f8e13f41d799e775b71fdff.msi [표-1] 코로나 관련 유포 파일명 Magniber는 과거 Internet Explorer 취약점을 이용하여 사용자의 특별한 동작 없이 웹페이지 방문만으로 Drive by Download로
Magniber 랜섬웨어의 유포 중단 (11/29 이후)
안랩 ASEC 분석팀은 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식을 통해 활발하게 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어의 유포를 지속적인 모니터링 과정을 통해 신속하게 대응하고 있다. 이와 같은 지속적 대응을 통해 11/29일자 기준으로 매그니베르 랜섬웨어의 유포 중단 현황을 포착하였다. 최근 매그니베르 랜섬웨어 제작자는 확장자 변경, 인젝션, UAC 우회 기법 등의 다양한 백신 탐지 회피를
매그니베르(Magniber) 랜섬웨어 변경 (*.js -> *.wsf) – 09/28
ASEC 분석팀은 지난 9월 8일 매그니베르 랜섬웨어가 CPL 확장자 에서 JSE 확장자로 변경됨을 블로그를 통해 소개한 바 있다. 매그니베르(Magniber) 랜섬웨어 변경(*.cpl -> *.jse) – 9/8일자 – ASEC BLOG 7월 20일에 MSI 형식에서 CPL 형식으로 유포방식을 변경한 이후, 8월 중순 이후부터 유포가 잠시 주춤한 것으로 확인되고 있었다. 지속적으로 변화 상황을 모니터링
최신 매그니베르 랜섬웨어 V3 차단 영상 (AMSI + 메모리진단)
ASEC 분석팀은 지난 9월 8일자 블로그를 통해 매그니베르 변형에 대한 내용을 소개하였다. 9월 16일부터는 매그니베르 랜섬웨어 스크립트가 자바 스크립트 인 것은 동일하지만, 확장자가 기존 *.jse에서 *.js로 변경되었다. 매그니베르가 9월 8일을 기점으로 자바 스크립트로 바뀌면서 동작 방식 또한 기존과 달라졌다. 현재 유포 중인 자바 스크립트 파일 내부에는 [그림 2]와 같은 닷넷
정상 윈도우 인스톨러(MSI)로 위장한 매그니베르 유포 재개 (2/22)
ASEC 분석팀은 어제 (02/22) 오전 매그니베르 랜섬웨어가 기존 윈도우앱(APPX) 형태가 아닌 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. Critical.Update.Win10.0-kb4215776.msi Critical.Update.Win10.0-kb6253668.msi Critical.Update.Win10.0-kb5946410.msi MSI 패키지 파일은 정상적인 윈도우 업데이트에도 사용되는 일종의 설치 프레임워크이다. 매그니베르는 MSI 패키지 파일 내부에 매그니베르 랜섬웨어
