본문 바로가기
악성코드 정보

Magniber 랜섬웨어 구동 방식의 변화 (TSWbPrxy.exe 사용)

by 분석팀 2018. 3. 16.

현재 Magniber 랜섬웨어는 한국을 타겟으로 유포되는 랜섬웨어 중 유포 건수가 가장 높다. 광고성 웹사이트의 정상적인 네트워크를 이용하는 멀버타이징 방식이 사용됨은 변함이 없지만, 최종적으로 랜섬웨어가 사용자 시스템에서 구동되는 방식은 주기적으로 변화하고 있다. 그리고 3월 15일, 유포 스크립트의 변화로 인해 TSWbPrxy.exe가 사용되는 새로운 구동방식 발견되었다. 이러한 유포 방식은 2016년 6월 CryptXXX 랜섬웨어 유포에서도 사용된 방법으로 동일한 제작자에 의해 만들어 지는 것으로 추정된다. TSWbPrxy.exe는 특정 응용 프로그램을 실행하는 데 사용되는 MS제공 윈도우즈의 정상 프로그램이다.

<그림 1>은 Magniber 랜섬웨어 유포에 사용되는 자바 스크립트 원본이다. Magniber 랜섬웨어를 사용자 시스템에 생성하고 실행하는 역할을 수행한다.

<그림 1. Magniber 랜섬웨어 유포 스크립트 원본>

<그림 2>는 원본 복호화된 스크립트이다. 복호화된 스크립트의 빨간 박스의 실행문에 의해서 TSWbPrxy.exe를 통해 사용자 로컬에 생성된 랜섬웨어 파일이 실행된다

GetObject("new:MSTSWebProxy.MSTSWebProxy.1").StartRemoteDesktop(%filepath%, "");


<그림 2. 복호화된 Magniber 랜섬웨어 유포 스크립트>


해당 기법으로 실행되면 <그림 3>과 같이 Magniber 랜섬웨어는 TSWbPrxy.exe 의 하위 프로세스로 생성되어 랜섬웨어의 파일 암호화 행위를 수행하게 된다.


<그림 3. TSWbPrxy.exe 로 실행된 Magniber 랜섬웨어>


현재 V3에서는 Magniber 랜섬웨어를 수동, 실시간 모두 진단이 가능하며, 다음의 진단명으로 진단하고 있다.


- 파일 진단 : Trojan/Win32.Magniber (엔진 반영 버전 : 2018.03.16.02)

- 행위 진단 : Malware/MDP.DriveByDownload.M1659 (엔진 반영 버전 : 2018.02.27.00)


댓글