본문 바로가기
악성코드 정보

파일리스 형태의 매그니베르 랜섬웨어 사전방어 (V3 행위탐지)

by AhnLab ASEC 분석팀 2019. 5. 31.

작년(2018) 안랩 분석팀에서 제작한 매그니베르(Magniber) 복구툴 배포 이후, 매그니베르는 파일리스(Fileless) 형태로 복구가 불가능하게 변경되었다Fileless 형태로 유포 중인 매그니베르는 행위탐지를 우회하고, 성공적인 파일 암호화를 위하여 (감염 시스템의)권한이 있는 불특정 프로세스에 무차별 인젝션을 수행하게 진화하였다. 이러한 기법을 통해 랜섬웨어 행위의 주체가 감염 시스템의 실행 중인 정상 프로세스가 되고, 해당 프로세스를 종료해도 다른 프로세스에 의해 랜섬웨어 행위가 재 실행되는 구조로 감염 후에는 차단을 어렵게 한다.

 

참고(1): 인젝션 대상 변경 정보 (https://asec.ahnlab.com/1137)

 

Anti-Virus 제품이 단순히 랜섬웨어 행위(파일 암호화)를 하는 프로세스를 탐지하여 종료하는 경우 윈도우 시스템 프로세스가 종료되면 BSOD가 발생하거나 정상적인 사용이 불가능해 사용자는 재부팅을 수행해야 한다매그니베르 공격자는 이와 같이 복구가 불가능하게 진화하고, 탐지를 어렵게 하기위해 Fileless 형태로, 행위탐지를 우회하기 위해 인젝션 대상 변경 등 다양하게 동작 방법을 변경하였다. 하지만, 최초 감염을 위해 사용하는 취약점은 CVE-2018-8174 VBScript 엔진 취약점으로 2018년과 동일하게 그대로 유지하고 있다. (IE취약점으로 Chrome사용자는 감염제외)

 

참고(2): CVE-2018-8174 정보 (https://asec.ahnlab.com/1183)

 

보안이 취약한 웹 페이지 방문 시 멀버타이징 방식으로 CVE-2018-8174 취약점이 있는 페이지로 연결되며, 보안 업데이트가 되지 않은 환경은 웹 페이지 접속만으로 원격 코드가 실행되어 랜섬웨어에 의해 파일이 암호화된다.

 

참고(3): 멀버타이징 정보 (http://asec.ahnlab.com/1037)

 

[그림 -1] 매그니베르 감염 순서 도식화

 

[그림-1]의 동작화면에서 가장 첫번째 단계인 CVE-2018-8174 원격코드 실행 취약점이 발생하지 않는 최신 보안 업데이트 환경이라면, 매그니베르(Magniber) DLL 파일은 인젝션이 수행되지 않아 파일 암호화 행위를 하지 못한다.

 

보안 업데이트 정보(https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads)

 

하지만, 안랩의 ASD(Ahnlab Smart Defence) 시스템에는 보안패치가 수행되지 않은 시스템의 취약점 실행 로그가 매일 수백 건이 보고되고 있다. 안랩 분석팀에서는 이러한 취약점을 분석하여 행위기반으로 탐지하기 위한 작업을 수행하였다. 이러한 분석작업을 바탕으로 현재 V3제품에서는 CVE-2018-8174 취약점 발생을 행위기반으로 탐지하고, 악성행위를 수행하는 Internet Explore를 종료하는 행위 탐지(Malware/MDP.Exploit.M2214) 기능이 적용되었다.

 

[V3제품에 의한 매그니베르 랜섬웨어 차단영상]

*행위 탐지 기능을 사용하는 V3 모든 제품에서 차단 가능

 

아래의 [그림-2]는 V3 제품을 통해 CVE-2018-8174 취약점을 행위기반으로 탐지 시, 보여지는 화면을 나타낸다.

 

[그림 -2] CVE-2018-8174 탐지화면

 

웹 페이지 방문 중 위 [그림-2]와 같은 차단 화면이 나오고 인터넷 브라우저(Internet Explore)가 종료될 경우 보안이 취약한 페이지로 인식하고 재 방문을 자제해야 한다.

 

행위탐지 진단명

  • Malware/MDP.Exploit.M2214

 

댓글2