通过V3行为诊断防御最新的勒索软件

Magniber勒索软件已经对韩国许多用户造成了损失，它不断发展以实现有效的攻击，例如快速变化的内部代码流。Magniber勒索软件通过Internet Explorer漏洞（CVE-2021-26411）传播，安全补丁对于该浏览器的用户来说非常至关重要。

 

AhnLab V3可以基于“行为诊断”功能检测并拦截最新的Magniber勒索软件。在本文中，我们将了解Magniber勒索软件的感染过程以及通过V3如何检测和拦截它。

 

  

 

Magniber勒索软件通过注入的方式，以“无文件”的形式运行，无需另外创建文件，并通过Internet Explorer浏览器积极传播。传播时，利用了“CVE-2021-26411”漏洞JavaScript。换句话说，执行勒索软件行为的主体是受感染系统的多个正常进程。

 

【图1】是最新的Magniber勒索软件的感染过程。简而言之，它通过步骤1到4运行，其中标记为黄色的部分是执行勒索软件行为的进程。这是用户计算机中存在的正常进程。

 

  

 

【图1】Magniber勒索软件感染过程

 

近期的Magniber勒索软件具有【图1】所示的结构，但呈现了内部Shellcode模式和恶意代码注入方式不断变化， 如【图2】所示。

 

  

 

【图2】Magniber漏洞利用工具包变化时间轴

 

从时间轴来看，Magniber漏洞利用工具包（Exploit Kit: EK）直到今年初一直在利用CVE-2020-0968漏洞，并基于2021年3月15日发布的CVE-2021-26411概念验证（PoC）代码更改了漏洞。

 

攻击者试图通过各种方式绕过V3行为和内存检测，例如通过更改漏洞来混淆Shellcode和更改变注入目标。但是，最新的V3引擎可以检测该漏洞的行为和内存检测。 

 

下面简单了解一下Shellcode的变化过程和注入目标的变化。首先，4月15日，V3内存检测功能部署到引擎。4月22日，攻击者试图通过混淆Shellcode来绕过V3内存检测。 

 

5月4日，注入目标由原来的32位进程更改为64位进程。因此，对64位环境的用户来说，Magniber代码被注入到比以前更多的正常进程中。作为参考，对于32位用户，将以32位进程执行注入。

 

 【图3】32位进程验证例程 - 将Magniber代码注入至32位进程

 

 【图4】64位进程验证例程 - 将Magniber代码注入至64位进程

 

当用户访问易受攻击的网页时，最新的V3引擎会检测CVE-2021-26411漏洞脚本的异常行为。

 

该行为检测功能将于2021年06月18日起分发给所有使用V3的客户，以便勒索软件可以在用户文档被加密之前主动检测并拦截。但是，防止勒索软件感染的最重要的预防措施是保持最新的安全更新。因此，用户应保持最新的安全更新，避免访问不可靠的网站。