Magniber 랜섬웨어 유포 스크립트의 변화

최근 Magniber 랜섬웨어는 멀버타이징을 통해 활발히 유포되고 있다. 멀버타이징(Malvertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염시키는 방법이다.  

유포 건수가 증가하는 만큼, 랜섬웨어 유포 방식 또한 활발하게 변화되고 있다. 사용자 시스템에 랜섬웨어 파일을 숨기는 ADS Data Hiding 기법이 사용된 지 일주일이 채 지나지 않아, Windows 정상 프로그램인 "forfiles.exe"를 이용하는 실행방식으로 변하였다. 그리고 최근에 들어 파일 은폐 방식이 사라지고 "rundll32.exe"를 이용한 실행 방식으로 변하였다.

Magniber 랜섬웨어를 사용자 시스템에 유포하는 자바 스크립트의 기간별 변화는 다음과 같다. 

<그림 1. 복호화된 2월 7일 Magniber 랜섬웨어 유포 스크립트>

(샘플 MD5 : 6f4753b9629eecebbf15d1afe9ea4bb5)

2월 7일 : ADS 스트림에 숨겨진 랜섬웨어 데이터를 WMI 쿼리를 통해 실행

<그림 2. 복호화된 2월 20일 Magniber 랜섬웨어 유포 스크립트>

(샘플 MD5 : b82a0a91130751fdb0e6b535c7e186d3)

2월 20일 : 기존 실행방식에 "forfiles.exe"를 통해 실행하는 방식이 추가됨.

<그림 3. 복호화된 2월 28일 Magniber 랜섬웨어 유포 스크립트>

(샘플 MD5 : 3b570cefa9908a796e2dc6f0fa3d176f)

2월 28일 : ADS 파일 은폐 방식이 사라지고 %appdata% 경로에 ".com" 확장자로 생성 후, WMI 쿼리를 통해 실행

<그림 4. 복호화된 3월 5일 Magniber 랜섬웨어 유포 스크립트>

(샘플 MD5 : 4388df3ea6bf2cd9b3c450bf088ab420)

3월 5일 : 이전과 마찬가지로  %appdata% 경로에 ".com" 확장자로 생성 후,  WMI 쿼리를 통해 직접 실행하지 않고 "rundll32.exe"를 통해 랜섬웨어 파일을 실행하며, 실행이 실패할 경우  "wscript.exe"를 통해 실행

현재 V3에서는 Magniber 랜섬웨어를 수동, 실시간 모두 진단이 가능하며, 다음의 진단명으로 진단하고 있다.

- 파일 진단 : Trojan/Win32.Magniber

(엔진 반영 버전 : 2018.03.05.03)

- 행위 진단 : Malware/MDP.Ransome.M1659

(엔진 반영 버전 : 2018.02.27.00)