분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]‘Magniber’ 랜섬웨어 재등장 감염 주의

TACHYON & ISARC 2018. 7. 31. 09:27

‘Magniber’ 랜섬웨어 재등장 감염 주의

1. 개요

지난해 등장해서 파일 암호화를 수행하던 Magniber 랜섬웨어가 올해 6월 다시 등장해 활동을 시작했다. 해당 랜섬웨어는 MyRansom 이라고도 불리며, 한국어 환경의 운영체제에서만 파일 암호화를 수행하기 때문에 국내 사용자들의 각별한 주의가 요구되고 있다.

 

이번 보고서에서는 지난해 등장했던 Magniber 랜섬웨어와 비교했을 때 변화된 내용에 대해서 알아보고자 한다.

 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

 [임의의 파일명].dll

 파일크기

 82,944 byte

 진단명

 Trojan/W32.Inject.82944.U

 악성동작

 파일 암호화

 

2-2. Magniber 이전 버전 분석 정보

지난해 등장했던 Magniber 랜섬웨어와 비교했을 때 한국어 환경의 운영체제에서만 파일 암호화를 수행하는 부분이나 암호화 대상 파일 확장자, 암호화 제외 대상 폴더 등은 동일하다. 이 부분에 대해서는 아래 링크 주소를 따라가면 기존에 잉카인터넷 공식 블로그에서 분석한 이전 버전 분석보고서를 참고 할 수 있다.

 

한국 겨냥한 ‘Magniber(=MyRansom) Ransomware’ 감염 주의 : http://erteam.nprotect.com/1399


2-3. Magniber 최근 버전에서 달라진 점

Magniber 랜섬웨어가 진화하면서 실행 과정에 변화가 있었다. 지난해 등장했던 버전에서는 exe파일로 되어있으며, 해당 파일이 실행되면 \AppData\Local\Temp 경로에 ‘ihsdj.exe’(감염 시 확장자명과 동일) 파일을 생성해서 실행시키는 방식이었다. 반면에 최근 발견 된 버전에서는 악성스크립트가 노출되는 웹사이트에 접속 할 경우 쉘코드를 실행시켜 랜섬웨어가 다운로드 된다. 다운로드 된 랜섬웨어는 Fileless 방식으로 정상 프로세스에 인젝션하여 메모리 상에서 동작하는 방식이다.

 


 

[그림 1] 인젝션 동작을 수행할 프로세스 검색[그림 1] 인젝션 동작을 수행할 프로세스 검색

 

 

 

현재 실행중인 프로세스에 따라 다른 프로세스에 인젝션 하여 암호화를 수행 한다. 현재까지 확인 된 인젝션 대상 프로세스는 taskhost.exe, dwm.exe, explorer.exe 등 이다. 이러한 정상 프로세스에 랜섬웨어를 인젝션 시켜, 원격 스레드를 생성 한 뒤 암호화를 진행한다.

 

 

 

 

[그림 2] 원격 스레드 생성[그림 2] 원격 스레드 생성

 

 

 

또한 작업 스케줄러에 등록하는 작업에도 미세한 변화가 있었다. 이전 버전에서는 랜섬웨어 실행을 위해 생성한 exe파일을 지속적으로 실행시키는 작업을 등록했었다면, 최근 버전에서는 아래 [그림 3] 와 같이 등록하여 15분 간격으로 랜섬노트를 실행시키고, 1시간 간격으로 복호화 안내 페이지를 실행시킨다.

 

 

[그림 3] 예약 작업 등록[그림 3] 예약 작업 등록

 

 

 

파일 암호화 후에 덧붙이는 확장자 명도 변화하였는데 변종에 따라 ‘.ihsdj’, ‘.jdakuzbrk’, ‘.svcvgxek’ 등 다양하게 확장자를 변경하고 있다. 해당 랜섬웨어는 USB를 포함한 모든 드라이브를 탐색하고 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명 뒤에 ‘.hyanpelc’ 이라는 확장자를 덧붙인다.

 

 

 

[그림 4] 파일 암호화[그림 4] 파일 암호화

 

 

 

복호화 안내문에서 이전 버전은 BITCOIN만을 요구했다면, 최근 버전은 BITCOIN 뿐만 아니라 DASH코인을 요구하는 점도 변화한 점이다. DASH코인은 암호화된 디지털 화폐의 일종으로 익명성이 강해 추적이 어렵고 실시간 이체 확인 기능을 갖고 있는 것이 특징이다.

 

 

 

[그림 5] 복호화 안내 페이지[그림 5] 복호화 안내 페이지

 

 


 

변화 된 점 

 이전 Magniber

 최근 Magniber

 실행 과정

\AppData\Local\Temp 경로에 exe파일을 생성해서 랜섬웨어 실행

웹사이트에 접속 시 쉘코드를 실행시켜 랜섬웨어를 다운 후 정상 프로세스에 인젝션하여 메모리 상에서 실행

 작업 스케줄러 등록

15분 마다 exe파일을 지속적으로 실행하는 작업 등록

15분 마다 랜섬노트를 실행,

1시간 마다 복호화 안내 페이지를 실행

암호화 후 확장자명

'.ihsdj'

(유포된 날짜에 따라 다름)

‘.hyanpelc’

(변종에 따라 다양한 확장자명 존재)

 복호화 비용 요구 수단

 BITCOIN

 BITCOIN, DASH

 

[표 1] Magniber 랜섬웨어의 변화 된 점



4. 결론

6월 다시 등장한 Magniber 랜섬웨어는 한국어 환경의 운영체제에서만 파일 암호화를 수행하기 때문에 이에 대비하여 국내 사용자들의 각별한 주의가 요구되고 있다. 또한 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 MS에서 제공하는 최신 보안 패치와 함께 백신 제품을 설치하고 항상 최신버전으로 유지하여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면