파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 2018년 4월에 ASEC블로그를 통해 복구툴을 배포한 후, 암호화 방식의 변화로 2018년 6월부터 현재까지 등장하는 형태는 모두 복구가 불가능한 형태로 유포 중이다. 여전히 국내 피해사례가 많은 상황이며, IE 취약점(CVE-2018-8174)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다.
ASEC 분석팀에서는 지속적으로 매그니베르 랜섬웨어 유포지를 모니터링하고 있으며, 1)11월 11일 이후 동작방식의 변화를 확인하였다. 어떠한 동작방식의 변화가 있었는지를 설명하고, V3 Lite 4.0 제품에 새롭게 적용된 '프로세스 메모리 진단' 탐지기능을 통한 2)암호화 차단과정을 소개하고자 한다.
매그니베르 랜섬웨어는 IE 브라우저 취약점을 통한 감염으로 (별도의 파일생성 없이)파일리스 형태로 동작하며, 랜섬웨어 행위를 수행하는 주체가 감염 시스템의 다수의 정상 프로세스들이다. 즉, 한번 감염이 되면 치료가 상당히 어려운 랜섬웨어라고 할 수 있다.
아래의 그림은 11월 11일 이전의 매그니베르 랜섬웨어의 동작과정을 나타낸다. (1)번~(6)번 과정을 통해 동작하며, 노락색으로 표시된 프로세스(실행중인 사용자 프로세스들, wuapp.exe)가 랜섬웨어 행위를 수행하는 프로세스들로 모두 정상 프로세스임을 알 수 있다. 즉, 랜섬웨어 행위를 수행하는 별도의 악성코드가 파일형태로 생성/실행하는 구조가 아닌 인젝션(Injection)을 통한 파일리스 형태로 동작한다.
11월 11일 이후의 변화는 (4)번 과정이 제거된 것으로 현재는 iexplorer.exe 프로세스가 자기 자신에게 Injector DLL을 인젝션하는 부분이 제거되었다. 이러한 행위상의 변화는 순서상 제일 먼저 수행되는 단계를 V3에서 행위기반 엔진에 의해 탐지/차단하는 것을 우회하기 위한 것으로 추정되며, 현재는 (5)번, (6)번 단계에서의 행위탐지가 가능한 상황이다. 또한, 다운로드 받아오는 파일이 Magniber 랜섬웨어가 아닌 이를 포함하는 Injector DLL 형태(3번 단계)였으나, 이 부분도 변경된 사항이다.
현재 유포중인 Magniber도 마지막 단계의 wuapp.exe에 인젝션이 실패할 경우에 한해 iexplorer.exe 자기 자신에게 랜섬웨어를 인젝션하는 코드가 존재하나 이는 실제 감염 환경에서 발생하기 어려운 구조로 그림에서는 제외하였다.
V3 Lite 4.0 제품에는 이러한 행위탐지 기능 외에 '프로세스 메모리 진단' 기능이 새롭게 추가되었으며, 실시간으로 프로세스 메모리 영역 중 악의적인 부분을 탐지하여 치료하는 기능을 수행한다. 즉, (5)번과 (6)번 단계에서 랜섬웨어에 의해 수행되는 정상 프로세스에 악의적인 코드 인젝션 과정을 실시간으로 진단/치료하여 랜섬웨어 감염을 차단할 수 있다.
V3 Lite 4.0 제품에 적용된 실시간 '프로세스 메모리 진단'을 활성화 하면, 아래와 같이 파일리스 형태의 매그니베르 랜섬웨어가 차단된다.
프로세스 메모리 진단 외에 기존의 행위 탐지 기능에 의해서도 차단이 가능하며 아래 영상은 V3 차단 기능 중 행위 탐지 기능을 이용한 차단 영상이다.
[V3제품에 의한 매그니베르 랜섬웨어 행위탐지 차단영상]
[V3 진단명]
- (행위탐지) Malware/MDP.Behavior.M2578
- (프로세스 메모리 진단) Win-Trojan/Magniber.mexp
- (스크립트 파일 진단) HTML/Magnitude.S6
'악성코드 정보' 카테고리의 다른 글
소송 관련 내용의 악성 한글 HWP 파일 유포 - 코니(KONNI) 조직 (0) | 2019.12.12 |
---|---|
동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산? (0) | 2019.12.11 |
SMB 전파기능의 Lemon_Duck 악성코드 유포 (1) | 2019.12.03 |
NEMTY 랜섬웨어 v2.2 국내발견!! (0) | 2019.12.02 |
[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록) (0) | 2019.11.22 |
댓글