보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

윈도우 MOTW 우회하는 매그니베르 랜섬웨어 유포 중

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2022-11-09

매그니베르(Magniber) 랜섬웨어는 여전히 활발한 유포 양상을 보인다. 그동안 확장자를 지속적으로 변경해 온 매그니베르는 백신 및 안티바이러스 제품의 탐지를 피하기 위해 지금도 다양한 변형을 시도하고 있다. 이 글에서는 매그니베르 랜섬웨어가 마이크로소프트의 보안 기능 ‘MOTW(Mark of the Web)’를 우회하기 위해 올해 98일부터 929일까지 사용한 스크립트 및 유포 방식을 소개한다.

 

 


[표 1] 매그니베르의 날짜 별 주요 특징

​ 

매그니베르 랜섬웨어는 [그림 1]처럼 타이포스쿼팅(Typosquatting) 방식으로 유포됐다사용자가 잘못 입력한 도메인으로 접속하면 [그림 2]와 같이 매그니베르가 다운로드된다.


[그림 1] 매그니베르가 타이포스쿼팅 방식으로 유포되는 과정

다운로드된 파일은 윈도우의 MOTW에 의해 외부에서 가져온 파일로 식별된다. 따라서 실행 시 경고 메시지가 발생한다. MOTWNTFS 파일 시스템에서 동작하며, 다운로드 URLNTFS 파일 시스템의 스트림에 기록된다. URL이 저장된 스트림은 파일명:Zone.Identifier:$DATA” 형태로 파일 경로에 생성되며, 노트패드(Notepad)를 통해 간단히 확인할 수 있다.


[그림 2] MOTW로 기록된 파일

매그니베르는 MOTW 기능을 우회하기 위해 [그림 3]처럼 스크립트 하단에 디지털 서명을 추가했다. 디지털 서명은 스크립트를 작성한 후 스크립트가 변경되지 않았음을 보장하고, 작성한 사용자가 누구인지 확인할 방법을 제공한다. IT 외신 블리핑 컴퓨터(Bleeping Computer)에 따르면, 매그니베르 랜섬웨어의 스크립트에 포함된 디지털 서명은 MOTW를 우회하는 내용이다.


[그림 3] 매그니베르 랜섬웨어 유포에 사용된 스크립트(wsf, js, jse)

​현재 매그니베르 랜섬웨어는 스크립트가 아닌 MSI 확장자로 유포되고 있다. 하지만 백신을 우회하기 위해 유포 방식을 자주 변경하기 때문에 예의주시할 필요가 있다. , 신뢰할 수 없는 사이트에서 다운로드한 파일은 주의해서 실행해야 한다.

안랩은 매그니베르 랜섬웨어에 대해 파일 진단 등 다양한 탐지 방법으로 대응하고 있다. [V3 환경 설정] – [PC 검사 설정]에서 프로세스 메모리 진단 사용, 악성 스크립트 진단(Antimalware Scan Interface, AMSI) 사용 옵션을 활성화할 것을 권장한다.

  • AhnLab 로고
  • 콘텐츠기획팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기