Ransomware

Magniber 랜섬웨어 국내 유포 재개(1/28)

ASEC 분석팀은 01월 28일 오전 매그니베르 랜섬웨어가 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. 아래 그림과 같이 자사 로그 시스템을 통해 확인한 결과 1월 27일을 기점으로 유포량이 증가됨을 확인할 수 있었다. MS.Update.Center.Security.KB17347418.msi MS.Update.Center.Security.KB2562020.msi MS.Update.Center.Security.KB44945726.msi   현재 매그니베르가 유포되는 사이트에서는 과거 공유된 MOTW(Mark of the Web)를 이용한 도메인 차단을 우회하기 위해 <a> 태그를 이용하여 다운로드 데이터를 추가하는 방식으로 유포하고있다. 국내 매그니베르 유포에 활용되는 도메인 <a> 태그의 href 를 base64…

AD 환경에서 전파기능을 포함한 다크사이드 랜섬웨어

다크사이드 랜섬웨어는 분석 및 샌드박스 탐지를 우회하기 위해 로더(Loader)와 데이터 파일이 함께 있어야 동작한다. “msupdate64.exe” 이름의 로더는 (같은 경로에 존재하는) 랜섬웨어를 인코딩 상태로 저장하고 있는 “config.ini” 데이터 파일을 읽어 정상 프로세스의 메모리 상에서 랜섬웨어를 실행한다. 실행 시, 특정 인자값이 맞아야 동작하는 구조이며, 작업 스케줄러에 등록되어 주기적으로 동작하도록 구성되어 있다. 다크사이드 랜섬웨어의 기능은 아래와 같다. 1) 랜섬웨어의 암호화 대상 제외 목록정상 프로세스에 인젝션된 랜섬웨어는 특정 폴더 및 파일명을 제외한 나머지 모든 파일을 암호화한다. 아래 [표 1], [표 2]는 암호화 제외와 관련된…

Magniber Ransomware 12/9 유포 시작 코로나 관련 파일명 포함 유포 주의!

안랩 ASEC 분석팀은 Magniber Ransomware가 2022.12.09에 재유포 되는 것을 확인하였다. 기존에 보안 업데이트 관련 파일명을 포함하여 코로나가 기승을 부리는 시기에 Magniber Ransomware도 코로나 관련 파일명을 포함하여 유포되는 것을 확인하였다. C:\Users\$USERS\Downloads\COVID.Warning.Readme.2f4a204180a70de60e674426ee79673f.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.502ef18830aa097b6dd414d3c3edd5fb.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.a179a9245f8e13f41d799e775b71fdff.msi [표-1] 코로나 관련 유포 파일명 Magniber는 과거 Internet Explorer 취약점을 이용하여 사용자의 특별한 동작 없이 웹페이지 방문만으로 Drive by Download로 랜섬웨어를 감염시켰으나, MicroSoft에서 Internet Explorer의 서비스가 종료되자 새로운 브라우져의 취약점을 이용하는 것을 포기하고 사회공학적 기법을 이용하여 보안 업데이트나, 앞서 말한 것처럼 코로나 관련 파일명을 유표하여 실행을 사용자에게 맡기고 있다. 이는…

STOP 랜섬웨어 국내 유포 중

ASEC 분석팀은 STOP 랜섬웨어가 국내에 유포되고 있음을 확인하였다. 해당 랜섬웨어는 ASEC 주간 악성코드 통계 (20221128 ~ 20221204)에서 Top3를 차지하고 있을 정도로 다수 유포되고 있다. 최근 유포되는 파일은  SmokeLoader, Vidar와 같이 MalPe 외형을 지니는 것이 특징이다. 유포 파일명은 다음과 같이 4byte의 랜덤한 문자열을 지닌 것으로 확인된다. %SystemDrive%\users\[user]\appdata\local\temp\4316.exe %SystemDrive%\users\[user]\appdata\local\temp\8c21.exe %SystemDrive%\users\[user]\appdata\local\temp\a579.exe %SystemDrive%\users\[user]\appdata\local\[uuid]\2399.exe %SystemDrive%\users\[user]\appdata\local\[uuid]\1da9.exe 랜섬웨어 실행 시 먼저 hxxps://api.2ip.ua/geo.json에 접속하여 country code를 확인한다. 아래에 해당하는 경우에는 암호화를 수행하지 않는다. country code 국가 RU Russia BY Belarus UA Ukraine AZ Azerbaijan AM Armenia TJ Tajikistan…

Magniber 랜섬웨어의 유포 중단 (11/29 이후)

안랩 ASEC 분석팀은 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식을 통해 활발하게 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어의 유포를 지속적인 모니터링 과정을 통해 신속하게 대응하고 있다. 이와 같은 지속적 대응을 통해 11/29일자 기준으로 매그니베르 랜섬웨어의 유포 중단 현황을 포착하였다. 최근 매그니베르 랜섬웨어 제작자는 확장자 변경, 인젝션, UAC 우회 기법 등의 다양한 백신 탐지 회피를 위한 시도를 수행하였으며, 파일, 메모리, AMSI 진단 등을 비롯한 ASEC 분석팀의 지속적인 대응 과정을 거쳐, 10월 이후 MSI 확장자 형태로 유포 방식이 고착화되었다. 매그니베르 랜섬웨어 유포 방식의 변화(cpl -> jse…