본문 바로가기
악성코드 정보

멀버타이징 방식에 의한 매그니베르와 갠드크랩 중복감염

by AhnLab ASEC 분석팀 2019.02.28

작년 3월 안랩 ASEC에서 Magniber 복구툴 배포 후 멀버타이징(Malvertising) 방식으로 유포하던 공격자는 Magniber가 복구가 불가능하게 변경되기 전까지 GandCrab 랜섬웨어로 교체하여 유포한 이력이 있다. (https://asec.ahnlab.com/1128)


하지만 현재 멀버타이징 방식으로 각기 다른 익스플로잇 킷(Magnitude EK, FallOut EK)에 의해 Magniber와 GandCrab이 모두 유포되고 있는 것을 포착하였다. 보안에 취약한 페이지 방문 시 여러 개의 랜딩페이지가 연결되며 이미 암호화 된 파일이 다른 랜섬웨어로 다시 암호화 되는 현상이 발생하고 있어 사용자의 각별한 주의가 필요하다.


멀버타이징(Malvertising)은 악성 프로그램을 뜻하는 멀웨어(Malware) 혹은 악성 행위를 의미하는 멀리셔스(Malicious)와 광고 활동을 뜻하는 애드버타이징(Advertising)의 합성어 이다. 멀버타이징(Advertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염 시키는 방법이다. (https://asec.ahnlab.com/1037)

 

[그림-1] Magniber, GandCrab에 모두 감염된 시스템 화면


공격자는 사용자를 취약점이 존재하는 광고페이지로 연결시키는데 한 개의 페이지에서 두개의 페이지가 연결되는 것을 확인할 수 있다. 


[그림-2] 2개의 취약점 광고 페이지로 연결되는 코드


상기 두개의 URL은 각각 Magnitude EK 와 FallOut EK 랜딩 페이지로 연결된다. 


[그림-3] 인코딩 된 Magnitude EK 랜딩 페이지


Megnitude EK는 기존에 게시된 것과 같이(*참고: asec.ahnlab.com/1136) CVE-2018-8174를 이용하여 인코딩 된 PE를 다운로드 받아 복호화 한 뒤 실행한다.


[그림-4] 인코딩 된 FallOut EK 랜딩 페이지


FallOut EK 도 앞서 사용된 취약점과 같은 CVE-2018-8174를 이용하며 해당 코드는 PowerShell을 이용하여 GandCrab PE를 다운로드 받은 후 실행한다.

 

[그림-5] PowerShell을 이용하여 GandCrab 생성


공격자는 서로 다른 랜섬웨어에 감염에 대한 고려가 되어 있지 않아, 한 개의 페이지에서 연결된 다수의 랜딩페이지에서 각기 다른 랜섬웨어가 실행될 경우 암호화된 파일은 다시 암호화가 된다.


[그림-6] 2번 암호화된 문서 파일(빨간 줄: Magniber 확장자, 파란 줄: GandCrab 확장자)


상기 그림처럼 파일에 랜덤명 확장자가 두개 생긴 것을 확인할 수 있다. 이럴 경우 한 개의 랜섬웨어 복구툴로는 복구가 되지 않는다. CVE-2018-8174 취약점은 이미 보안패치가 나온 만큼 사용자는 최신 상태를 유지하도록 신경써야 하며, 확인되지 않은 웹페이지에 대한 방문은 자제하여야 한다.


* 참고) 인터넷 익스플로러 최신 버전 업데이트

https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads



댓글0