• 스마트 파인더
    • Security Map
    • 견적 및 도입 문의
    • My Company
    • V3 Lite 다운로드
웹콘텐츠
위협 소식2022-11-09

윈도우 MOTW 우회하는 매그니베르 랜섬웨어 유포 중

매그니베르(Magniber) 랜섬웨어는 여전히 활발한 유포 양상을 보인다. 그동안 확장자를 지속적으로 변경해 온 매그니베르는 백신 및 안티바이러스 제품의 탐지를 피하기 위해 지금도 다양한 변형을 시도하고 있다. 이 글에서는 매그니베르 랜섬웨어가 마이크로소프트의 보안 기능 ‘MOTW(Mark of the Web)’를 우회하기 위해 올해 9월 8일부터 9월 29일까지 사용한 스크립트 및 유포 방식을 소개한다.

​

 

 


[표 1] 매그니베르의 날짜 별 주요 특징

​ 

매그니베르 랜섬웨어는 [그림 1]처럼 타이포스쿼팅(Typosquatting) 방식으로 유포됐다. 사용자가 잘못 입력한 도메인으로 접속하면 [그림 2]와 같이 매그니베르가 다운로드된다.


[그림 1] 매그니베르가 타이포스쿼팅 방식으로 유포되는 과정

다운로드된 파일은 윈도우의 MOTW에 의해 외부에서 가져온 파일로 식별된다. 따라서 실행 시 경고 메시지가 발생한다. MOTW는 NTFS 파일 시스템에서 동작하며, 다운로드 URL은 NTFS 파일 시스템의 스트림에 기록된다. URL이 저장된 스트림은 “파일명:Zone.Identifier:$DATA” 형태로 파일 경로에 생성되며, 노트패드(Notepad)를 통해 간단히 확인할 수 있다.


​[그림 2] MOTW로 기록된 파일

​
매그니베르는 MOTW 기능을 우회하기 위해 [그림 3]처럼 스크립트 하단에 디지털 서명을 추가했다. 디지털 서명은 스크립트를 작성한 후 스크립트가 변경되지 않았음을 보장하고, 작성한 사용자가 누구인지 확인할 방법을 제공한다. IT 외신 블리핑 컴퓨터(Bleeping Computer)에 따르면, 매그니베르 랜섬웨어의 스크립트에 포함된 디지털 서명은 MOTW를 우회하는 내용이다.

​

[그림 3] 매그니베르 랜섬웨어 유포에 사용된 스크립트(wsf, js, jse)

​현재 매그니베르 랜섬웨어는 스크립트가 아닌 MSI 확장자로 유포되고 있다. 하지만 백신을 우회하기 위해 유포 방식을 자주 변경하기 때문에 예의주시할 필요가 있다. 또, 신뢰할 수 없는 사이트에서 다운로드한 파일은 주의해서 실행해야 한다.

안랩은 매그니베르 랜섬웨어에 대해 파일 진단 등 다양한 탐지 방법으로 대응하고 있다. [V3 환경 설정] – [PC 검사 설정]에서 프로세스 메모리 진단 사용, 악성 스크립트 진단(Antimalware Scan Interface, AMSI) 사용 옵션을 활성화할 것을 권장한다.

▶ASEC 블로그 바로가기
  • AhnLab
    콘텐츠기획팀
목록 보기

관련 콘텐츠

데모영상

[Demo] AhnLab AI PLUS - AI 에이전트가 수행하는 이벤트 및 영향도 분석

[Demo] AhnLab AI PLUS - AI 에이전트가 수행하는 이벤트 및 영향도 분석

데모영상

[Demo] AhnLab XDR – 실제 공격 시나리오 탐지 & 대응

[Demo] AhnLab XDR – 실제 공격 시나리오 탐지 & 대응

데모영상

[Demo] AhnLab TIP – AI를 활용한 Lazarus 공격 그룹 분석

[Demo] AhnLab TIP – AI를 활용한 Lazarus 공격 그룹 분석

데모영상

[Demo] AhnLab CPS PLUS – CPS 네트워크-엔드포인트 자산 가시성 확보

[Demo] AhnLab CPS PLUS – CPS 네트워크-엔드포인트 자산 가시성 확보

skip navigation
  • 메뉴
  • 본문
  • 하단 정보(링크)
  • 제품
    • AhnLab PLUS Platform
    • AhnLab Endpoint PLUS
      • 안티멀웨어
      • 엔드포인트 보호 플랫폼 (EPP)
      • 지능형 위협 대응
      • 엔드포인트 탐지 & 대응 (EDR)
      • 중소기업 보안
      • 모바일 보안
    • AhnLab Network PLUS
      • 차세대 방화벽 (ZTNA)
      • 차세대 방화벽
      • 디도스 방어
      • 네트워크 침입 방지 (IPS)
      • 지능형 위협 대응
      • 네트워크 위협 관리 (TMS)
    • AhnLab Cloud PLUS
      • 클라우드 워크로드 보안 (CWPP)
      • 클라우드 방화벽
      • 클라우드 IPS
      • 클라우드 네트워크 위협 관리
    • AhnLab Connect PLUS
      • 확장형 탐지 & 대응 (XDR)
      • 위협 인텔리전스 (TIP)
      • SOAR
    • AhnLab CPS PLUS
      • CPS 보안 통합 관리
      • OT 엔드포인트 보안
      • OT 가시성 및 위협 탐지
      • OT 휴대용 안티멀웨어
      • OT 방화벽
      • OT 일방향 데이터 전송
      • OT 지능형 위협 대응
      • IT 엔드포인트 보안
      • IT 안티멀웨어
      • CPS 위협 인텔리전스
    • AhnLab AI PLUS
    • 전체 제품 및 서비스
  • 서비스
    • AhnLab Service PLUS
      • 매니지드 탐지 & 대응 (MDR)
      • 보안관제
      • Professional Service
      • 디지털 포렌식
      • 클라우드 MSP
      • 정보보호컨설팅
      • 글로벌 파트너
    • 전체 제품 및 서비스
  • 솔루션
    • 랜섬웨어 보안
    • 하이브리드 클라우드 보안
    • 제로 트러스트
    • CPS 보안
    • SOC 고도화
    • 위협 탐지 & 대응 (TDR)
    • 디도스 방어
  • 구매
    • 견적 및 도입 문의
    • 스마트 파인더
    • 구매방식
    • 제품 정책
      • 소프트웨어
      • 네트워크
    • 전략 물자
    • 랜섬웨어 탐지 대응 통합 서비스 페이지 배너
  • 고객지원
    • 온라인 고객지원
      • 원격지원
      • 1:1상담
      • 전화상담 안내
      • FAQ
    • 기업 기술 교육
    • 위협정보 신고센터
    • 다운로드
    • 공지사항
  • 콘텐츠 센터
    • 콘텐츠 센터
      • 시큐리티 레터
      • 월간 安
    • ASEC
      • 위협정보
      • 위협 행위자 분류 체계
      • ASEC 보안권고문
      • ASEC 블로그
    • 하이라이트
      • 랜섬웨어 탐지·대응 통합 서비스
      • MITRE ATT&CK 평가 라운드 7
      • 안랩 창립 30주년
      • Frost Radar CPS 보안 리더
  • 파트너
my page
로그인회원가입
언어 선택

최근 검색어가 없습니다.

AhnLab

  • 회사소개
  • 투자정보
  • 채용정보
  • 사용권 약관
  • 개인정보처리방침
  • 이용약관
  • Contact Us
  • 사이트맵

기업정보

  • 대표이사 : 강석균
  • 사업자등록번호 : 214-81-83536
  • (우) 13493 경기도 성남시 분당구 판교역로 220
  • 통신판매신고번호 : 2012-경기성남-1189
  • 대표전화 : 031-722-8000
  • Fax : 031-722-8901
  • © AhnLab, Inc. All rights reserved.

News Letter

시큐리티 레터는 매주 놓쳐서는 안 될 보안 정보를,
월간 '安'은 매월 위협 분석과 보안 동향에 대한 깊이 있는 정보를 이메일로 보내드립니다.

뉴스레터 선택
뉴스레터
이용 동의
V3 엔진 버전OES : 2026.07.01.02SES : 2026.06.28.00
엔진 업데이트 바로가기
  • 카카오톡 채널 바로가기
  • 페이스북 바로가기
  • 링크드인 바로가기
  • 유튜브 바로가기