Magniber

매그니베르 랜섬웨어의 재실행 기법(Magniber)

ASEC(AhnLab Security Emergency response Center)은 높은 유포건수를 보이는 매그니베르(Magniber) 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 설치 패키지 파일(.msi)로 유포되고 있다. 최근 매그니베르(Magniber) 랜섬웨어에 감염된 시스템에서 재감염되었다는 피해 사례가 보고되어 분석결과 시스템이 재시작 될 때마다 새로운 매그니베르를 다운로드 받아 암호화가 되도록 제작하여 더 많은 피해를 발생 시키고 있다. 아래 [그림] 은 MSI 파일 실행시,  msiexec.exe 에서 동작되는 인젝터…

EDR을 활용한 Magniber 랜섬웨어 유포지 추적

안랩 ASEC은 지난 1월 Magniber 랜섬웨어 국내 유포 재개(1/28)를 공개한 이후에도 지속적으로 Magniber 유포가 확인되어 다양한 방식으로 차단을 하고 있다. 특히 당시 <a> 태그를 통해 도메인 차단을 우회하고 있는 것을 확인되었는데, 이를 탐지하기 위해 다른 방법을 통해 유포지 URL을 추적하여 대응하는 방안에 대해 연구하였다. 이를 개선하여 적용한 인프라에서 수집되는 정보를 바탕으로 유포지 차단, 파일 진단 등을 통해 피해가 발생하지 않도록 노력하고있다. Magniber 랜섬웨어는 Anti virus 제품의 탐지를 우회하기 위해 지속적으로 변형을 유포하고 있어 실시간 대응을 어렵게 하고 있는만큼 추가 피해를…

Magniber 랜섬웨어 국내 유포 재개(1/28)

ASEC 분석팀은 01월 28일 오전 매그니베르 랜섬웨어가 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. 아래 그림과 같이 자사 로그 시스템을 통해 확인한 결과 1월 27일을 기점으로 유포량이 증가됨을 확인할 수 있었다. MS.Update.Center.Security.KB17347418.msi MS.Update.Center.Security.KB2562020.msi MS.Update.Center.Security.KB44945726.msi   현재 매그니베르가 유포되는 사이트에서는 과거 공유된 MOTW(Mark of the Web)를 이용한 도메인 차단을 우회하기 위해 <a> 태그를 이용하여 다운로드 데이터를 추가하는 방식으로 유포하고있다. 국내 매그니베르 유포에 활용되는 도메인 <a> 태그의 href 를 base64…

Magniber Ransomware 12/9 유포 시작 코로나 관련 파일명 포함 유포 주의!

안랩 ASEC 분석팀은 Magniber Ransomware가 2022.12.09에 재유포 되는 것을 확인하였다. 기존에 보안 업데이트 관련 파일명을 포함하여 코로나가 기승을 부리는 시기에 Magniber Ransomware도 코로나 관련 파일명을 포함하여 유포되는 것을 확인하였다. C:\Users\$USERS\Downloads\COVID.Warning.Readme.2f4a204180a70de60e674426ee79673f.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.502ef18830aa097b6dd414d3c3edd5fb.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.a179a9245f8e13f41d799e775b71fdff.msi [표-1] 코로나 관련 유포 파일명 Magniber는 과거 Internet Explorer 취약점을 이용하여 사용자의 특별한 동작 없이 웹페이지 방문만으로 Drive by Download로 랜섬웨어를 감염시켰으나, MicroSoft에서 Internet Explorer의 서비스가 종료되자 새로운 브라우져의 취약점을 이용하는 것을 포기하고 사회공학적 기법을 이용하여 보안 업데이트나, 앞서 말한 것처럼 코로나 관련 파일명을 유표하여 실행을 사용자에게 맡기고 있다. 이는…

Magniber 랜섬웨어의 유포 중단 (11/29 이후)

안랩 ASEC 분석팀은 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식을 통해 활발하게 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어의 유포를 지속적인 모니터링 과정을 통해 신속하게 대응하고 있다. 이와 같은 지속적 대응을 통해 11/29일자 기준으로 매그니베르 랜섬웨어의 유포 중단 현황을 포착하였다. 최근 매그니베르 랜섬웨어 제작자는 확장자 변경, 인젝션, UAC 우회 기법 등의 다양한 백신 탐지 회피를 위한 시도를 수행하였으며, 파일, 메모리, AMSI 진단 등을 비롯한 ASEC 분석팀의 지속적인 대응 과정을 거쳐, 10월 이후 MSI 확장자 형태로 유포 방식이 고착화되었다. 매그니베르 랜섬웨어 유포 방식의 변화(cpl -> jse…