본문 바로가기

벌새::Analysis

긴급 업데이트(Critical Update) 파일로 위장한 Magniber 랜섬웨어 파일(.msi) 주의

반응형

국내에서 가장 광범위하게 피해를 주고 있는 Magniber 랜섬웨어(Ransomware)가 2022년 2월 22일경부터 사이트 접속 중 긴급 업데이트(Critical Update) 파일을 자동 다운로드하여 사용자로 하여금 실행하도록 유도하는 새로운 방식을 도입하였습니다.

 

페이스북(Facebook) 주소 입력 시 오타로 접속된 사이트

대표적인 감염 과정을 살펴보면 유명 사이트 접속을 위해 웹 브라우저 주소창에 URL 주소 입력 과정에서 오타로 다른 사이트에 접속할 때 리다이렉트(Redirect) 방식으로 Magniber 랜섬웨어 악성 파일을 자동 다운로드할 수 있습니다.

 

Magniber 랜섬웨어 악성 파일(.msi) 다운로드 과정

만약 잘못 입력한 사이트의 소스에 특정 사이트로 연결하는 URL 값이 존재할 경우 최소 2단계 이상의 다른 웹 서버를 경유한 후 최종적으로 Critical.Update.Win10.0-kb78532307.msi 파일(SHA-1 : 1ef12c68fa61479c17415ce0d96598037e3e6f47 - AhnLab V3 : Ransomware/Win.Magniber.X2137)을 다운로드 폴더에 자동 다운로드할 수 있습니다.

 

긴급 업데이트 파일로 위장한 Magniber 랜섬웨어 악성 파일 (Critical.Update.Win10.0-kb78532307.msi)

사용자는 다운로드 순간에는 제대로 인지하지 못할 수 있으며, 나중에 다운로드 폴더에 존재하는 Critical.Update.Win10.0-kb78532307.msi 파일을 확인하고 호기심에 실행할 수 있습니다.

 

특히 다운로드된 Windows Installer 패키지 파일(.msi)에는 유효한 "Foresee Consulting Inc." 디지털 서명이 포함되어 있으므로 사용자는 더욱 파일을 신뢰할 수 있습니다.

 

Microsoft Installer 설치 화면

만약 다운로된 .msi 파일을 실행할 경우 화면 상에서는 "Microsoft Installer" 설치 진행창이 생성되어 프로그램이 설치되는 것처럼 보입니다.

Magniber 랜섬웨어 프로세스 구조

하지만 실행한 .msi 파일은 "C:\Windows\System32\MsiExec.exe" 시스템 파일을 통해 동작하여 파일 암호화를 진행하며, 추가적으로 "C:\Users\Public\<Random>.exe" 파일(SHA-1 : f799f2eb35464fb84cf77e2b5587f81fb3c34d6f) - ESET : A Variant Of Win64/Injector.HB)을 생성하여 다음과 같은 명령어를 실행합니다.

cmd /c "start fodhelper.exe"

이를 통해 사용자 계정 컨트롤(UAC) 알림 기능 우회를 통해 다수의 프로세스에 코드 인젝션을 통해 시스템 복원 무력화 코드("C:\Windows\System32\vssadmin.exe" Delete Shadows /all /quiet)를 반복적으로 수행하여 사용자가 파일 복구를 할 수 없도록 합니다.

 

Magniber 랜섬웨어에 의해 암호화된 파일들 (.<7~9자리 영문 소문자 Random 확장명>)

Magniber 랜섬웨어에 의해 암호화된 파일들은 .<7~9자리 영문 소문자 Random 확장명> 형태로 변경되며, README.html 메시지 파일을 생성합니다.

 

README.html 메시지 파일

README.html 메시지 파일에서는 Tor 웹 브라우저를 이용하여 특정 사이트로 접속하도록 안내하고 있습니다.

 

"MY DECRYPTOR" 메인 화면

접속된 "MY DECRYPTOR" 사이트에서는 1개의 파일에 대해서 무료 복구를 지원하고 있으며, 주의할 점은 "Click here for detailed instructions" 버튼을 클릭하여 접속하는 순간부터 정해진 기간이 카운터되기 시작합니다.

 

"MY DECRYPTOR" 세부 정보 제공 화면

해당 화면에서는 5일 이내에 비트코인(Bitcoin)을 지불하지 않을 경우 가격이 2배로 상승한다는 경고 메시지가 포함되어 있습니다.

 

한국어(Korean) 운영 체제에서만 감염되는 Magniber 랜섬웨어 유포 주의 (2017.10.22)

 

오픈캡쳐(OpenCapture) 프로그램 설치 시 Magniber 랜섬웨어 감염 주의 (2020.7.3)

 

네이버 피싱 목적으로 생성되었던 도메인을 통한 Magniber 랜섬웨어 유포 (2020.9.2)

 

뽐뿌 유사 도메인을 이용한 Magniber 랜섬웨어 감염 주의 (2021.7.31)

 

유사한 URL 주소를 이용한 Magniber 랜섬웨어 유포 방식은 이전부터 존재하였으나, 핵심적인 부분은 웹 브라우저 종류에 따라 감염 방식이 다르다는 점입니다.

 

  • Internet Explorer 웹 브라우저 (Windows 7) : IE 웹 브라우저 취약점(Exploit)을 이용한 자동 감염 방식으로 다수의 정상 프로세스에 코드 인젝션을 통한 파일 암호화
  • Internet Explorer 웹 브라우저 (Windows 10 / 최신 보안 패치 미적용) : IE 웹 브라우저 취약점(Exploit)을 이용한 자동 감염 방식으로 "C:\Windows\system32\rundll32.exe" 시스템 파일을 이용한 파일 암호화
[코드 실행 예시]

"c:\windows\system32\rundll32.exe" shell32.dll,control_rundll ".cpl:$.$.$///..///..///appdata///..///appdata///..///appdata///local///..///local///..///local///temp///..///temp///..///temp///low///aionw.inf",
  • Chrome / Microsoft Edge 웹 브라우저 (Windows 10, Windows 11) : 사이트 접속 중 자동 다운로드된 .msi 파일을 사용자가 직접 실행 시 "C:\Windows\System32\MsiExec.exe" 시스템 파일을 이용한 파일 암호화

위와 같은 웹 브라우저와 Windows 보안 업데이트 수준에 따라 Magniber 랜섬웨어는 다양하게 동작이 진행됩니다.

 

그러므로 항상 Windows 업데이트 기능을 통해 제공하는 최신 보안 패치 외에도 사이트 접속 중 자신도 모르게 다운로드된 파일을 함부로 실행하여 피해를 보지 않도록 더욱 조심하시기 바랍니다.

728x90
반응형