보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

주목해야 할 매그니베르 랜섬웨어의 변화

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2018-03-05

지난 2017년 중반 무렵, 매그니베르(Magniber) 랜섬웨어가 나타났다. 이름에서 짐작할 수 있는 것처럼 매그니베르는 케르베르(Cerber) 랜섬웨어에서 변형돼 매그니튜드(Magnitude) 익스플로잇킷을 이용해 유포되는 랜섬웨어다. 지난 2017년 하반기에 본격적으로 등장한 매그니베르 랜섬웨어가 주목 받았던 이유는 바로 한글 윈도우에서만 실행된다는 점 때문이었다. 한국 사용자를 노리는 것으로 알려진 매그니베르 랜섬웨어가 최근 뚜렷한 변화를 보이기 시작했다. 

 

매그니베르 랜섬웨어는 주로 매그니튜드 익스플로잇킷을 이용해 멀버타이징(Malvertising) 방식으로 유포되고 있다. 멀버타이징은 정상적인 광고 서비스의 네트워크를 이용하여 악성코드를 유포 및 감염시키는 방법이다. 그런데 최근 매그니베르 랜섬웨어의 파일 생성 방식과 동작 방식에 변화가 나타났다.

 

매그니베르 랜섬웨어 파일 생성 방식의 변화: 파일 은폐

최신 매그니베르 랜섬웨어는 감염된 시스템에 랜섬웨어 파일을 생성할 때 ADS(Alternate Data Stream)를 활용해 파일을 은폐하는 기법을 사용하고 있다. [그림 1]과 [그림 2]는 각각 암•복호화된 매그니베르 랜섬웨어 유포 스크립트다. [그림 2]의 복호화된 매그니베르 유포 스크립트를 보면 %temp% 경로에 생성하는 파일명이 “wa0flL0Y: wa0flL0Y”이다.

 

 

[그림 1] 난독화된 매그니베르 랜섬웨어 유포 스크립트

 

 

[그림 2] 복호화된 매그니베르 랜섬웨어 유포 스크립트

 

감염된 시스템의 로컬에 저장된 파일을 디렉토리에서 확인하면 [그림 3]과 같이 파일의 크기가 0 바이트로 나타난다.

 

 

[그림 3] temp 폴더에 생성된 파일

 

해당 경로를 [그림 4]와 같이 커맨드 명령(dir /r)을 통해 확인해보면 “wa0flL0Y: wa0flL0Y” 라는 이름의 ADS(Alternate Data Stream)에 실제 랜섬웨어 파일이 생성된 것을 알 수 있다. 

 

 

[그림 4] 커맨드 명령을 통해 확인한 실제 폴더 구조

 

ADS에 생성된 실제 랜섬웨어 파일은 [그림 2]의 스크립트 마지막 줄에 위치한 실행문에 의해 실행된다. 윈도우(Windows) XP 이후 버전에서는 보안상의 이유로 ADS에 생성된 파일은 "start [파일명]" 과 같은 커맨드 명령으로는 실행되지 않는다. 그러나 아래와 같은 WMIC 쿼리를 이용하면 윈도우 7 환경에서도 ADS에 생성된 파일이 실행된다.

 

 

WMIC 쿼리​

 

매그니베르 랜섬웨어 동작 방식의 변화

지난 2월 말 안랩이 수집한 매그니베르 랜섬웨어 유포용 자바 스크립트에서 ADS에 생성한 파일을 forfiles.exe를 통해 실행하는 기법이 새롭게 발견되었다. forfiles.exe는 윈도우 운영체제에서 제공되는 프로그램으로, 특정한(선택적인) 파일에 대해 커맨드 명령을 수행하는 기능을 갖고 있다.

[그림 5]는 지난 2월 안랩에 접수된 매그니베르 랜섬웨어 유포 스크립트로, 난독화되어 있다. [그림 6]은 이 난독화된 스크립트를 복호화한 것이다.

 

 

[그림 5] 난독화된 매그니베르 랜섬웨어 유포 스크립트

 

 

[그림 6] 복호화된 매그니베르 랜섬웨어 유포 스크립트

 

[그림 6]에 표시된 부분은 새롭게 추가된 실행문으로, 이 실행문은 감염 시스템의 ADS에 생성된 랜섬웨어 파일을 forfiles.exe를 통해 실행하는 역할을 한다. forfiles.exe를 이용하면 ADS에 저장된 파일이 윈도우 7, 윈도우 10에서도 실행 가능한 것으로 확인됐다. 따라서 WMI 쿼리가 비활성화된 시스템을 감염시키기 위한 것으로 해석할 수 있다.


 

forfiles.exe 커맨드

 

위의 커맨드를 살펴보면 forfiles.exe의 명령 반복 횟수를 한 번으로 제한하기 위해 커맨드 앞단의 명령 인자(“/p c:\\windows\\system32 /m notepad.exe)가 사용된 것을 알 수 있다. 따라서 이어지는 명령 인자(/c \””+ FilePath + ”\”)가 한 번 실행되며, 공격자는 해당 명령을 통해 단일 파일을 실행하기 위한 목적으로 forfiles.exe를 사용하였다.

 

V3 제품군에서는 ADS(Alternate Data Stream)에 생성된 악성 파일을 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

Trojan/Win32.Magniber

Malware/MDP.Ransome.M1171

 

매그니베르 랜섬웨어는 주로 멀버타이이징 기법을 통해 유포 및 감염된다. 멀버타이징 기법은 오래된 운영체제 및 소프트웨어 버전을 사용하거나 최신 보안 패치를 적용하지 않는 시스템에 치명적이며, 광고 차단(애드 블록) 기능을 이용하지 않는 사용자들이 피해를 입는 경우가 많다. 따라서 매그니베르 랜섬웨어 등 멀버타이징 기법을 통해 유포되는 랜섬웨어의 피해를 예방하기 위해서는 최신 보안 패치 적용이 무엇보다 중요하다. ​ 

  • AhnLab 로고
  • ASEC 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.