본문 바로가기

벌새::Analysis

네이버 피싱 목적으로 생성되었던 도메인을 통한 Magniber 랜섬웨어 유포 (2020.9.2)

저번에 블로그를 통해 정보를 공개하였던 오픈캡쳐(OpenCapture) 사이트 접속 시 취약점(Exploit)을 통해 Magniber 랜섬웨어(Ransomware)에 감염될 수 있는 위험성에 대해 살펴보았습니다.

 

오픈캡쳐(OpenCapture) 프로그램 설치 시 Magniber 랜섬웨어 감염 주의 (2020.7.3)

 

이번에는 과거 네이버(Naver) 피싱(Phishing) 목적으로 등록되었던 다양한 네이버 유사 도메인 주소로 등록된 사이트에 실수로 접속할 경우 Magniber 랜섬웨어 감염에 노출될 수 있는 부분에 대해 살펴보도록 하겠습니다.

 

<보안뉴스> 포털·은행 주소 오타냈다가...악성코드의 덫에 빠지다 (2016.9.2)

 

이들 유사 도메인 주소는 2016년경에 이미 언론 보도를 통해서도 공개되어 있으며 네이버(Naver) 주소와 유사하게 임의로 접속을 시도할 경우 누군가에 의해 등록된 주소인 경우에도 유효할 수 있습니다.

 

현재까지 Magniber 랜섬웨어에 감염되기 위해서는 Windows 7 운영 체제 환경에서 Internet Explorer 웹 브라우저를 이용하여 사이트 접속을 시도해야하며, 특히 2020년 1월 이후로 보안 패치 지원이 종료됨에 따라 최신 보안 패치가 설치되어 있지 않은 PC (※ 2019년 중반 이후에 공개된 보안 패치 미설치 환경)의 경우 사이트 접속 행위만으로도 자동 감염될 수 있습니다.

 

사이트 접속 중 자동 노출될 수 있는 광고 페이지 예시

감염이 발생할 수 있는 PC 환경에서 문제가 되는 네이버(Naver) 유사 도메인 주소에 접속한다고 100% 감염되는 것이 아니라, 위와 같이 단순히 다양한 광고 페이지로 자동 연결되는 경우가 있는 반면 특정 접속 시에는 다음과 같은 악성 스크립트에 연결되어 취약점 코드가 자동 실행될 수 있습니다.

 

naever[.]com 페이지 소스 정보

네이버 유사 도메인 접속 시 확인되는 소스를 살펴보면 사용자의 클릭 행위와 무관하게 특정 웹 페이지로 자동 로딩되도록 URL 주소가 포함될 수 있습니다.

 

1차 연결 페이지 소스 정보

연결된 페이지에서는 이전에 접속한 주소를 참조했는지 체크한 후 새로운 프레임 값으로 연결을 시도합니다.

 

2차 연결 페이지 주소 정보

이후 연결된 페이지에서는 단순히 새로운 도메인 주소를 가진 웹 사이트로 연결하는 정보만 포함되어 있습니다.

 

3차 연결 페이지 소스 정보

새로운 도메인 주소를 가진 페이지에서는 접속한 웹 브라우저의 크기 정보를 기반으로 한 하위 URL 값을 통해 연결을 시도합니다.

 

4차 연결 페이지 소스 정보

다시 연결된 페이지에서는 refresh 방식으로 Magniber 랜섬웨어 취약점 코드에 잘 활용되고 있는 .club 도메인 주소로 자동 연결을 시킵니다.

 

5차 연결 페이지 소스 정보

연결된 .club 도메인 소스 정보에서는 또 다른 .club 도메인 연결값이 포함되어 있으며, 이 페이지 소스 상에서는 다양한 정보가 존재하지만 위의 연결 과정에서 화면 상으로는 어떠한 콘텐츠도 노출되지는 않습니다.

 

6차 연결 페이지 소스 정보

마지막 단계에서 연결된 페이지에서는 Magniber 랜섬웨어 유포에 사용되는 Magnitude Exploit Kit 시작 페이지로 연결을 하도록 코드가 난독화 처리되어 있습니다.

 

Magnitude Exploit Kit URL 정보

이를 통해 최종적으로 Magnitude Exploit Kit 동작이 진행되어 난독화된 코드를 통해 Internet Explorer 웹 브라우저 취약점 코드가 실행되어 접속한 PC에 Fileless 방식으로 실행 중인 다양한 프로그램의 메모리 상에 Magniber 랜섬웨어 실행 코드를 추가하여 다수의 정상적인 프로그램이 파일 암호화를 진행합니다.

 

Magnitude Exploit Kit 실행 페이지 탐지 결과 (출처 : VirusTotal)

실제 취약점 코드 실행 페이지의 난독화된 코드를 VirusTotal에 업로드하여 검사를 진행해보면 위와 같이 1개의 백신에서도 탐지되지 않도록 우회되도록 제작되어 있는 것을 알 수 있습니다.

 

Magniber 랜섬웨어에 의해 암호화된 파일 (.mvaikvm)

정상적으로 취약점 코드를 통해 Magniber 랜섬웨어 실행이 이루어질 경우 .<7~9자리 영문 소문자 Random> 확장명을 가진 파이로 형태로 암호화 처리됩니다.

 

Magniber 랜섬웨어 메시지 파일 (readme.txt)

암호화된 폴더 내에는 readme.txt 메시지 파일을 통해 Tor 웹 브라우저를 이용하여 특정 사이트로 접속하도록 안내하고 있으며, 일반적으로 암호화된 파일 복구를 위해서는 복구 대행 업체를 거칠 경우 실제 가격(250만원) + 100만원 이상을 더 요구할 것으로 보입니다.

 

특히 최근 교회를 중심으로 한 코로나19 (COVID-19) 대규모 확산으로 인하여 재택 근무가 늘어나면서 네이버 접속 시 주소를 잘못 입력하여 이상한 사이트로 연결되는 과정에서 취약점을 이용한 랜섬웨어 자동 감염이 발생하는 사례가 이전과 비교하여 피해가 증가하고 있습니다.

 

그러므로 Internet Explorer 웹 브라우저를 이용하여 사이트 접속을 절대로 하지 마시고 MS Edge 또는 Chrome 웹 브라우저를 이용하여 사이트 접속을 하시기 바라며, Malwarebytes Anti-Exploit 취약점 차단 도구(무료)를 추가적으로 설치하여 사이트 접속 시 코드 실행이 되지 않도록 하시면 더욱 안전하게 사이트 접속을 하실 수 있습니다.

 

만약 코드 실행이 되어 최종적으로 파일 암호화가 진행될 경우에는 AppCheck 안티랜섬웨어 프로그램을 이용하여 최종적으로 차단을 할 수 있도록 백신 프로그램과 함께 사용하시면 더욱 안전할 것입니다.

 

이번 사례와 같이 기존에 누군가에 의해 악의적인 목적으로 등록해 두었던 사이트 주소가 지금은 사용되지 않지만 도메인 관리 업체의 부실한 운영으로 인하여 접속 중 자동으로 취약점 코드에 노출될 수 있다는 점에서 자주 방문하는 사이트는 즐겨찾기에 등록하여 접속 중 오타로 이상한 사이트에 접속하지 않도록 주의하시기 바랍니다.