빠르게 변화하고 있는 매그니베르(Magniber) 랜섬웨어 Posted By ASEC , 2022년 10월 13일 매그니베르(Magniber) 랜섬웨어는 최근 빠르게 변화하고 있다. 확장자 변경부터, 인젝션, UAC 우회 기법까지 최근 매그니베르 랜섬어는 백신의 탐지를 회피하기 위해 빠르게 변형을 보이고 있다. 본 내용에서 기존에 파악되었던 분석내용을 통해 최근 몇 달간 매그니베르(Magniber) 랜섬웨어의 변화를 정리하였다. [표 1]은 매그니베르(Magniber) 랜섬웨어의 날짜별 유포 파일의 주요 특징이다. 4개월간 msi, cpl, jse, js, wsf 5가지 확장자로 유포되었고, 최근 들어 9월은 4차례(cpl -> jse -> js -> wsf -> msi)의 잦은 확장자 변경이 이루어졌다. 날짜 확장자 실행 프로세스 암호화 프로세스 복구 환경 비활성화프로세스 복구…
매그니베르(Magniber) 랜섬웨어 변경 (*.js -> *.wsf) – 09/28 Posted By ASEC , 2022년 9월 28일 ASEC 분석팀은 지난 9월 8일 매그니베르 랜섬웨어가 CPL 확장자 에서 JSE 확장자로 변경됨을 블로그를 통해 소개한 바 있다. 공격자는 9월 8일 이후에도 지난 9월 16일에는 JSE 확장자에서 JS 확장자로 변경하였다. 그리고 금일 공격자는 JS 확장자에서 WSF 확장자로 유포 방식을 변경하였다. 공격자는 V3와 같은 백신 제품의 다양한 탐지 방식을 회피하기 위해 지속적으로 변형을 유포하고 있는 것으로 보인다. 금일 변경된 WSF 유포 방식은 [그림 1], [그림 2]와 같이 크롬(Chrome) 및 엣지(Edge) 브라우저 모두 동일하게 단일 WSF 파일 형태로 유포하는 것이 특징이다. 매그니베르는…
최신 매그니베르 랜섬웨어 V3 차단 영상 (AMSI + 메모리진단) Posted By ASEC , 2022년 9월 16일 ASEC 분석팀은 지난 9월 8일자 블로그를 통해 매그니베르 변형에 대한 내용을 소개하였다. 9월 16일부터는 매그니베르 랜섬웨어 스크립트가 자바 스크립트 인 것은 동일하지만, 확장자가 기존 *.jse에서 *.js로 변경되었다. 매그니베르가 9월 8일을 기점으로 자바 스크립트로 바뀌면서 동작 방식 또한 기존과 달라졌다. 현재 유포 중인 자바 스크립트 파일 내부에는 [그림 2]와 같은 닷넷 DLL이 포함되어 매그니베르 쉘코드를 실행 중인 프로세스에 인젝션 한다. 최신 매그니베르의 전체적인 동작 흐름은 [그림 1]과 같다. 닷넷 DLL 내부에는 매그니베르 쉘코드를 포함하고 있으며 쉘코드의 기능은 현재 실행 중인 다수의…
정상 윈도우 인스톨러(MSI)로 위장한 매그니베르 유포 재개 (2/22) Posted By ASEC , 2022년 2월 23일 ASEC 분석팀은 어제 (02/22) 오전 매그니베르 랜섬웨어가 기존 윈도우앱(APPX) 형태가 아닌 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. Critical.Update.Win10.0-kb4215776.msi Critical.Update.Win10.0-kb6253668.msi Critical.Update.Win10.0-kb5946410.msi MSI 패키지 파일은 정상적인 윈도우 업데이트에도 사용되는 일종의 설치 프레임워크이다. 매그니베르는 MSI 패키지 파일 내부에 매그니베르 랜섬웨어 DLL을 포함하여 유포하였다. MSI는 Custom Action 테이블을 통해 DLL의 익스포트 함수 호출 기능을 기본적으로 제공한다. 매그니베르 공격자는 이점을 악용하여 MSI 실행 시 매그니베르 랜섬웨어 DLL의 익스포트 함수가 실행되도록 하였다. 실행된…
매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444) Posted By ASEC , 2021년 9월 17일 매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된 것을 확인하였다. 해당 취약점은 9월 14일에 MS 보안패치가 적용된 최신 취약점으로 많은 사용자들이 감염 위험에 노출된 상황이다. (Win10 환경에서만 취약점이 변경되었으며, 그 외에는 기존 CVE-2021-26411이 사용 중) 취약점 발생 시, 아래의…
