랜섬웨어

국내를 집중 대상으로 하는 '매그니베르' / '마이랜섬웨어'

1,430    2018-01-10


개요

케르베르(Cerber)의 변종인 매그니베르(Magniber)가 현재 웹사이트 광고를 통하여 빠르게 확산되고 있습니다.


매그니베르는 매그니튜드(Magnitude) 랜섬웨어와 케르베르(Cerber)의 합성어로 국내에서는 마이랜섬(MyRanSom)으로 불리며 매그니튜드 익스플로잇 킷을  통하여 유포 중입니다.

 

해당 매그니베르 랜섬웨어는 감염 시스템의 언어가 한국어로 되어있는 경우에만 작동되는 것이 특징 입니다. 



동작방식 

 

 

· 온라인 광고를 통해 악성코드를 유포 (멀버타이징 방식) 

· 리그익스플로잇킷을 통해 악성코드 다운로드

▷ 인터넷 익스플로러의 메모리 취약점으로 실행 (2016.05 보안패치에서 수정됨)

· 시스템 사용언어가 한국어 일 경우 악성코드 완전한 동작 

▷ 시스템 사용언어가 한국어가 아닐경우 실행파일 자가 삭제



파일정보 및 특징  

1) 감염 프로세스 정보

 

 

 

2) 감염 프로세스 정보 


 

· 상기 프로세스는 단일 프로세스로 실행이 불가하며, 오시리스와 같은 형태로 부모 프로세스로 "Rundll32.exe"를 통해 'bkl5106.com' / 'k4479r1.com' 프로세스를 실행시켜 악성 동작 

· 운영체제의 작업 스케줄러에 악성 프로세스를 반복 수행하도록 등록 

▷ 10분 주기로 재감염 수행 및 복호화 안내 페이지 팝업 알림 

· 통상 일부 백신 프로그램은 일정 크기 이상의 파일을 검사하지 않는 점을 노림(10MB) 


[실사례]

▶ 화이트 프로세스 통제 솔루션 사용 無

국내  XXX기업에서 XX사 백신이 설치되어 있었지만 특정 용량 이하인 프로세스를 검사하지 않는 특징을 노렸기 때문에 랜섬웨어 감염 


▶ 화이트 프로세스 통제 솔루션 사용 有

자사의 프로세스 통제 솔루션이 설치된 PC의 경우 해당 프로세스는 허가되지 않았기 때문에 차단하여 랜섬웨어 감염 피해가 발생하지 않음. 이와 같이 신종/변종 랜섬웨어의 공격에 대응 가능



Sha-256(Hash) 정보 



감염 팝업

1) 감염 안내 페이지 


 
 


2) 복호화 안내 메시지

 

 

 

대응 방안  

해당 랜섬웨어인 '매그니베르' / '마이랜섬웨어'는 웹 페이지 방문만으로 감염이 될 수 있습니다. 웹페이지 광고를 차단해주는(Ad Blocker) Add-On을 사용 및 윈도우 보안패치를 최신으로 유지하여 임시적인 예방이 가능합니다. 


하지만, 지속적으로 변화하는 랜섬웨어를 대응하기 위해서는 기존의 블랙 개념의 보안 솔루션이 아닌 화이트 리스트 기반의 프로세스 통제 솔루션을 통해 허가된 프로세스만을 사용하여 우회 및 변조 기법을 이용하여 침투 및 악성행위를 하는 프로세스 통제를 통하여 사전 예방이 가능합니다.



관련 자료  

랜섬웨어 소개 및 대응 방안

랜섬웨어 치료 및 복구, 예방 방법

iMON LOPE 소개자료.pdf

케르베르 랜섬웨어

오시리스 랜섬웨어



댓글 : 0