V3 행위 진단을 통한 취약점 JAVA 스크립트(CVE-2021-26411) 탐지 (Magniber) Posted By ASEC , 2021년 6월 22일 파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 CVE-2021-26411 취약점 JAVA 스크립트를 사용하여 IE 브라우져를 통해 활발하게 유포되고 있다. 매그니베르 랜섬웨어는 내부 코드 흐름 또한 빠르게 변화하고 있으며, 여전히 국내 피해사례가 많은 랜섬웨어이다. 매그니베르 랜섬웨어는 IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. 현재 V3 제품은 ‘행위 진단‘ 기능으로 최신 메그니베르 랜섬웨어의 탐지/차단이 가능하다. [그림 1]은 최신 매그니베르 랜섬웨어의 감염 과정이다. 매그니베르 랜섬웨어는 IE 브라우저 취약점을 통한 감염으로 (별도의 파일생성 없이)파일리스 형태로 동작하며, 인젝션(Injection)을 통한 파일리스 형태로 동작한다. 따라서 랜섬웨어 행위를…
V3 메모리 진단을 통한 취약점(CVE-2021-26411) 탐지 (Magniber) Posted By ASEC , 2021년 4월 15일 파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 2021년 3월 기존 CVE-2020-0968 취약점 대신 CVE-2021-26411 취약점을 사용하는 스크립트로 변경되었다. 매그니베르(Magniber) 랜섬웨어는 여전히 국내 피해사례가 많은 상황이며, IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. V3 제품에 탑재된 ‘프로세스 메모리 진단‘ 기능으로 최신 메그니베르(Magniber)의 탐지/차단이 가능하다. 매그니베르 랜섬웨어는 IE 브라우저 취약점을 통한 감염으로 (별도의 파일생성 없이)파일리스 형태로 동작하며, 인젝션(Injection)을 통한 파일리스 형태로 동작한다. 따라서 랜섬웨어 행위를 수행하는 주체가 감염 시스템의 다수의 정상 프로세스들이다. 아래의 그림은 매그니베르 랜섬웨어의 동작과정을 나타낸다. 간략하게 (1)번~(4)번…
주의! 매그니베르(Magniber) 랜섬웨어 CVE-2021-26411 취약점으로 국내 유포 중 Posted By ASEC , 2021년 3월 16일 매그니베르(Magniber) 랜섬웨어 유포자는 V3의 진단을 회피하기 위해 지속적으로 진화해왔다. ASEC블로그를 지속적으로 구독해온 구독자라면 안랩과 매그니베르 랜섬웨어 제작자와의 쫓고 쫓기는 긴 역사에 대해선 익히 알고 있을 것이다. 매그니베르 유포자는 안랩 창립기념일(3/15)로 휴일인 날을 노려 그 동안 사용해왔던 취약점(CVE-2020-0968) 대신 CVE-2021-26411 취약점으로 긴급 변경하였다. ASEC 분석팀은 이러한 탐지 우회 시도를 빠르게 인지하기 위해 자동 대응 및 수집 시스템을 구축 운영 중이며, 해당 시스템을 통해 최신 CVE-2021-26411 취약점 스크립트로 변경한 것을 빠르게 포착할 수 있었다. 해당 취약점은 3월 9일 MS에서 보안패치 배포되었음으로 IE…
Magniber 랜섬웨어 유포 취약점 변경(CVE-2018-8174 -> CVE-2019-1367) Posted By ASEC , 2020년 2월 18일 매그니베르(Magniber) 랜섬웨어는 취약한 인터넷 익스플로러를 통한 웹페이지 접속만으로 랜섬웨어를 감염시키는 파일리스(Fileless) 형태의 악성코드이다. 국내에 많은 피해를 입히고 있는 대표적인 랜섬웨어로 ASEC 분석팀은 이러한 IE(Internet Explore) 취약점을 통해 유포되는 Magniber 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 2020년 2월 11일부터 유포에 사용하던 취약점이 CVE-2018-8174에서 CVE-2019-1367으로 새롭게 변경하여 국내에 유포 중임을 확인하였다. 아래 [그림 1]은 현재 매그니베르 유포 사이트 접속 시 전달받는 HTML 스크립트로 인코딩된 형태이다. [그림 2]는 [그림 1]의 스크립트의 디코딩된 형태로 취약점 스크립트 부분이다. 이전에 소개된 VBScript 엔진 취약점(CVE-2018-8174) 스크립트에서 JavaScript 엔진…
V3 Lite 4.0 새로운 탐지기능 소개: 매그니베르(Magniber) 랜섬웨어 차단 Posted By ASEC , 2019년 12월 10일 파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 2018년 4월에 ASEC블로그를 통해 복구툴을 배포한 후, 암호화 방식의 변화로 2018년 6월부터 현재까지 등장하는 형태는 모두 복구가 불가능한 형태로 유포 중이다. 여전히 국내 피해사례가 많은 상황이며, IE 취약점(CVE-2018-8174)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. ASEC 분석팀에서는 지속적으로 매그니베르 랜섬웨어 유포지를 모니터링하고 있으며, 1)11월 11일 이후 동작방식의 변화를 확인하였다. 어떠한 동작방식의 변화가 있었는지를 설명하고, V3 Lite 4.0 제품에 새롭게 적용된 ‘프로세스 메모리 진단‘ 탐지기능을 통한 2)암호화 차단과정을 소개하고자 한다. 매그니베르 랜섬웨어는 IE 브라우저…
