시스템 재시작 때마다 새로운 매그니베르 다운로드, 암호화해 더 큰 피해 발생

[보안뉴스 김영명 기자] 수많은 랜섬웨어 중 특히 매그니베르(Magniber) 랜섬웨어는 꾸준히 높은 유포건수가 나타나고 있는 것으로 분석되고 있다. 매그니베르 랜섬웨어는 최근 몇 년간 IE(Internet Explorer) 취약점을 통해 유포됐지만, IE의 지원 종료시기를 기점으로 IE 취약점 유포를 중단했다. 그 이후 매그니베르 랜섬웨어는 마이크로소프트 엣지(Edge), 구글 크롬(Chrome) 브라우저에서 윈도(Windows) 설치 패키지 파일(.msi)로 유포되고 있다.

[보안뉴스 / 2.22.] 매그니베르 랜섬웨어의 재확산, 엣지 및 크롬 브라우저에서 .msi 파일로 유포

▲msiexec.exe로 동작되는 인젝터 코드(정상 프로세스에 랜섬웨어 인젝션)[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀에 따르면, 최근 매그니베르 랜섬웨어에 감염된 시스템에서 재감염됐다는 피해 사례가 보고되고 있다. 이 랜섬웨어를 분석한 결과, 시스템이 재시작될 때마다 새로운 매그니베르를 다운로드, 암호화가 되도록 제작해 더 큰 피해를 발생시키고 있다.

MSI 파일을 실행했을 때 msiexec.exe에서 동작되는 인젝터 코드를 보면, 사용자 프로세스 리스트에 반복문(do-while)을 통해 차례대로 Magniber 랜섬웨어 페이로드를 주입한다. 다음으로, Inject_Magniber 함수 코드로 그림에 보이는 API를 통해 사용자 프로세스에 랜섬웨어를 주입하게 된다. 그 이후 정상 프로세스에 주입된 Magniber Ransomware 코드로 랜덤 함수(Func_Random)를 이용해 랜덤 값을 발생시킨다.

[보안뉴스 / 2.22.] 매그니베르 랜섬웨어의 재확산, 엣지 및 크롬 브라우저에서 .msi 파일로 유포

▲Inject_Magniber 함수 및 정상프로세스에 주입된 Magniber Ransomware 코드[자료=안랩 ASEC 분석팀]

이때, 홀수의 경우 지속성 코드(Persistence_RegistryEdit)가 수행되고, 짝수의 경우는 재실행을 등록하지 않고 암호화를 시도한다. 재실행 등록은 암호화 사전 단계로 재실행을 위해 레지스트리에 등록 단계에서 차단될 경우 성공적인 암호화를 위해 재실행 등록 코드를 실행하지 않은 남은 절반의 프로세스를 이용해 파일 암호화를 수행한다. Persistence_RegistryEdit 함수의 지속성 루틴은 아래 그림에서 확인할 수 있다.

[보안뉴스 / 2.22.] 매그니베르 랜섬웨어의 재확산, 엣지 및 크롬 브라우저에서 .msi 파일로 유포

▲Persistence_RegistryEdit 함수의 지속성 루틴(레지스트리)[자료=안랩 ASEC 분석팀]

매그니베르 랜섬웨어가 레지스트리 Run키에 단순히 등록해서 차단되는 것을 우회하기 위해 등록하는 레지스트리는 단계는 다음과 같다. 첫 번째로, ‘HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run’ 키에 의미없는 .3fr 파일을 등록하고, 해당 경로에 더미 파일을 생성한다. 두 번째로, .3fr 파일이 실행될 경우 같이 실행될 레지스트리에 등록된다. 세 번째로, 등록된 레지스트리에 매그니베르를 랜섬웨어를 다운로드하는 명령어를 저장하게 된다.

[보안뉴스 / 2.22.] 매그니베르 랜섬웨어의 재확산, 엣지 및 크롬 브라우저에서 .msi 파일로 유포

▲Run키에 등록한 레지스트리, 같이 실행될 레지스트리 등록, 매그니베르 재실행 레지스트리 명령 등록(위부터)[자료=안랩 ASEC 분석팀]

시스템을 재부팅하게 되면 Run 키에 등록된 .3fr 확장자를 실행하면서 추가로 동작하도록 지정된 레지스트리로 인해 새로운 매그니베르를 다운로드 받아와 다시 암호화된다.

[보안뉴스 / 2.22.] 매그니베르 랜섬웨어의 재확산, 엣지 및 크롬 브라우저에서 .msi 파일로 유포

▲매그니베르 랜섬웨어 유포 현황[자료=안랩 ASEC 분석팀]

매그니베르 자동 수집 시스템을 확인, 분석한 결과 매그니베르 유포는 20일 오후부터 중지된 것으로 확인됐지만, 언제 다시 유포가 시작될지 모른다. 매그니베르는 최신 윈도 버전의 크롬, 엣지 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있다. 따라서, 사용자가 잘못 입력한 도메인으로 인해 이전 사례와 같이 랜섬웨어 감염으로 연결될 수 있기 때문에 각별한 주의가 필요하다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>