멀버타이징(Malvertising)을 통해 유포되는 Magniber 랜섬웨어의 최근 유포방식에서 사용자 시스템에 랜섬웨어 파일을 생성할때 Alternate Data Stream(ADS)를 활용한 파일 은폐 기법이 사용되었다. 멀버타이징(Malvertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염 시키는 방법이다.
[그림 1], [그림 2]는 각각 암/복호화된 유포 스크립트를 나타낸다. [그림 2]의 복호화된 Magniber 유포 스크립트를 보면, %temp% 경로에 생성하는 파일명이 “wa0flL0Y: wa0flL0Y” 임을 확인할 수 있다.
[그림 1] 난독화된 Magniber 랜섬웨어 유포 스크립트
(샘플 MD5 : 6f4753b9629eecebbf15d1afe9ea4bb5)
[그림 2] 복호화된 Magniber 랜섬웨어 유포 스크립트
해당 기법을 통해 로컬에 저장된 파일은 디렉터리에서 확인하면 [그림 3]과 같이 파일의 크기가 0byte 로 보여진다. 하지만 [그림 4]와 같이 커맨드 명령(dir /r)을 통해 해당 경로를 확인해 보면 “wa0flL0Y: wa0flL0Y” 라는 이름의 Alternate Data Stream(ADS)에 실제 랜섬웨어 파일이 쓰여진다.
[그림 3] temp 폴더에 생성된 파일
[그림 4] 커맨드 명령을 통해 확인한 실제 폴더구조
Alternate Data Stream(ADS) 에 쓰인 실제 랜섬웨어 파일은 [그림 2]의 복호화된 유포 스크립트의 마지막 줄의 실행문에 의해 실행되며, [표 1]의 WMIC 쿼리를 통해 실행한다.
windows xp 이후, ADS에 생성된 파일은 "start [파일명]" 과 같은 커맨드 명령으로는 실행되지 않지만 WMIC 쿼리를 통하면 windows 7 환경에서도 ADS에 생성된 파일이 실행 가능함을 확인하였다.
WMIC process call create "%temp%\\wa0f1LoY:wa0f1LoY |
[표 1] 실행되는 WMIC 쿼리
현재 V3에서는 Alternate Data Stream(ADS)에 쓰여지는 파일이 수동, 실시간 모두 진단이 가능하며, 다음의 진단명으로 진단하고 있다.
- 파일 진단 : Trojan/Win32.Magniber
(엔진 반영 버전 : 2018.02.07.01)
- 행위 진단 : Malware/MDP.Ransome.M1171
(엔진 반영 버전 : 2016.12.03.01)
'악성코드 정보' 카테고리의 다른 글
| 불특정 다수를 대상으로 한 한글 취약점 파일 (0) | 2018.02.13 |
|---|---|
| 국내에도 유포되는 GandCrab 랜섬웨어 (0) | 2018.02.08 |
| 포털사이트 자동 글 업로드/블로그 조회수 조작 유해 프로그램 (0) | 2018.02.01 |
| AhnLab 폴더를 암호화하지 않는 Hermes 랜섬웨어 (0) | 2018.01.31 |
| Hermes 랜섬웨어의 재등장 (0) | 2018.01.29 |
댓글