Magniber

Magniber 랜섬웨어의 유포 중단 (8/25 이후)

AhnLab Security Emergency response Center(ASEC)은 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식을 통해 활발하게 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어의 유포를 지속적인 모니터링 과정을 통해 신속하게 대응하고 있다. 8/3 매그니베르가 사용하는 인젝션 기법의 차단룰 배포 이후 아래와 같이 블로그를 공개하였다. 이 후 매그니베르 제작자는 여러가지 탐지 우회 테스트를 진행하며 수량이 줄다가 8/25일자 기준으로 매그니베르 랜섬웨어의 유포 중단 을 확인하였다.  2016년 매그니베르가 세상에 처음 등장하고 나서 이렇게 긴 시간동안 유포를 중지하고 휴식을 가져간 기간은 없었다(통상 2주에서 한달안에 새로운 기법으로 탐지를 우회하여 재배포 시작). 탐지룰에 수량 그래프는…

매그니베르 랜섬웨어의 인젝션 V3 탐지 차단(Direct Syscall Detection)

매그니베르(Magniber) 랜섬웨어는 높은 유포건수를 보이며 꾸준히 유포되고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 보안 업데이트 패키지(ex_ERROR.Center.Security.msi)로 파일명을 위장해 유포되고 있다. 현재 매그니베르 랜섬웨어(Magniber)는 실행중인 프로세스에 랜섬웨어를 주입하여 실행중인 프로세스가 사용자의 파일을 암호화하는 피해를 발생시킨다. 해당 글을 통하여 현재 유포되고 있는 매그니베르 랜섬웨어의 감염 흐름 과 랜섬웨어 주입방식 및 새로운 탐지 기법(Direct Syscall Detection)에 대해 설명한다. [그림 1]은 매그니베르 랜섬웨어의 감염…

매그니베르 랜섬웨어의 재실행 기법(Magniber)

ASEC(AhnLab Security Emergency response Center)은 높은 유포건수를 보이는 매그니베르(Magniber) 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 설치 패키지 파일(.msi)로 유포되고 있다. 최근 매그니베르(Magniber) 랜섬웨어에 감염된 시스템에서 재감염되었다는 피해 사례가 보고되어 분석결과 시스템이 재시작 될 때마다 새로운 매그니베르를 다운로드 받아 암호화가 되도록 제작하여 더 많은 피해를 발생 시키고 있다. 아래 [그림] 은 MSI 파일 실행시,  msiexec.exe 에서 동작되는 인젝터…

EDR을 활용한 Magniber 랜섬웨어 유포지 추적

안랩 ASEC은 지난 1월 Magniber 랜섬웨어 국내 유포 재개(1/28)를 공개한 이후에도 지속적으로 Magniber 유포가 확인되어 다양한 방식으로 차단을 하고 있다. 특히 당시 <a> 태그를 통해 도메인 차단을 우회하고 있는 것을 확인되었는데, 이를 탐지하기 위해 다른 방법을 통해 유포지 URL을 추적하여 대응하는 방안에 대해 연구하였다. 이를 개선하여 적용한 인프라에서 수집되는 정보를 바탕으로 유포지 차단, 파일 진단 등을 통해 피해가 발생하지 않도록 노력하고있다. Magniber 랜섬웨어는 Anti virus 제품의 탐지를 우회하기 위해 지속적으로 변형을 유포하고 있어 실시간 대응을 어렵게 하고 있는만큼 추가 피해를…

Magniber 랜섬웨어 국내 유포 재개(1/28)

ASEC 분석팀은 01월 28일 오전 매그니베르 랜섬웨어가 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. 아래 그림과 같이 자사 로그 시스템을 통해 확인한 결과 1월 27일을 기점으로 유포량이 증가됨을 확인할 수 있었다. MS.Update.Center.Security.KB17347418.msi MS.Update.Center.Security.KB2562020.msi MS.Update.Center.Security.KB44945726.msi   현재 매그니베르가 유포되는 사이트에서는 과거 공유된 MOTW(Mark of the Web)를 이용한 도메인 차단을 우회하기 위해 <a> 태그를 이용하여 다운로드 데이터를 추가하는 방식으로 유포하고있다. 국내 매그니베르 유포에 활용되는 도메인 <a> 태그의 href 를 base64…