Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보CVE-2016-0189 취약점으로 유포되는 Magniber Ransomware
작성일 2017-11-03 조회 2539

 

 

 

 

 

 

최근 한국을 겨냥한 My ransomware 가 유포되고 있습니다. Magnitude Exploit Kit(이하 Magnitude EK)로 유포되는 Cerber 변종으로 두 단어를 합쳐 외국에서는 Magniber 랜섬웨어라고도 불리고 있습니다. 일반적으로 Exploit Kit은 불특정 다수, 즉 국가 및 감염 대상이 정해지지 않은 채 유포하는 것이 대부분이지만 Magniber 랜섬웨어는 한국을 대상으로 진행하기 때문에 국내에서 더 이슈가 되고 있습니다.

 

한 가지 더 특이한 점은 2016년과 2017년의  Magnitude Exploit Kit 유포 프로세스는 크게 달라지지 않았지만, 가장 달라진 점은 2017년에 발견된 Magnitude EK는 CVE-2016-0189 취약점을 활용하여 유포되고 있다는 점입니다.

 

 

' CVE-2016-0189'는 2016년 10월에 등장한 취약점으로 인터넷 익스플로러 VBScript엔진이 소스 코드를 처리할 떄 유효하지 않은 메모리에 접근하여 임의의 코드를 실행시키는 취약점입니다. 이를 이용하면 공격자는 악성 홈페이지에 접속한 사용자 PC에서 공격코드를 실행할 수 있습니다. 상기 취약점에 대한 PoC는 아래와 같습니다.

 

[그림] CVE-2016-0189 PoC (github.com/theori-io)

 

 

2016년 10월 이전에 Magniber EK 유포 방식과 이후의 유포 방식의 차이는 바로 CVE-2016-0189 취약점 사용 여부에 따라 나뉘게 됩니다. 취약점을 PoC 그대로 사용한 것이 아닌 난독화를 통해 조금 더 복잡한 코드를 가지게 됩니다.

 

 

[그림] 2016년 Magnitude EK Script

 

 

[그림] 2017년 Magnitude EK Script

 

 

난독화가 진행되어 있지만 'Array'와 'ASCII Converter'로 되어 있는 난독화이기 때문에 그리 어렵지 않게 원본을 확인할 수 있습니다. 물론, 조금 귀찮을 뿐. 

 

L = Array(chr(54),"s",chr(114),"m",chr(56),"'",chr(&o72&),chr(112),chr(46),chr(40),"S","n",chr(50),chr(&o103&),
hr(&h4f&),chr(&h69&),chr(&o161&),"d",chr(&o150&),"L",chr(122),chr(&h29&),"j",chr(&o60&),chr(72),
chr(&h2c&),chr(&o115&),";",chr(65)," ","3",chr(&h75&),chr(120),chr(92),chr(&h76&),chr(&h54&),chr(52),
hr(&o107&),"e",chr(&o142&),chr(&h6c&),chr(111),chr(&h2f&),"c","%",chr(&o164&),"w",chr(&o105&),
chr(&o61&),chr(&o122&),chr(&h61&))

 

[그림] Chr(Vaule) 변환

 

 

난독화 코드에 상기 Array값을 대입하면 평문화 코드를 확인할 수 있으며, 공개된 PoC 와 동일한 형태를 가지게 됩니다. 이후 랜섬웨어 다운로드 및 실행이 이루어집니다.

 

fhfsu = L(44)&L(31)&L(36)&L(48)&L(36)&L(48)&L(44)&L(31)&L(36)&L(48)&L(36)&L(48)&L(44)&L(31)&L(23)&
(23)&L(48)&L(0)&L(44)&L(31)&L(36)&L(48)&L(36)&L(48)&L(44)&L(31)&L(36)&L(48)&L(36)&L(48)&L(44)L(31)
&L(36)&L(48)&L(36)&L(48)&L(44)&L(31)&L(36)&L(12)&L(36)&L(12)&L(44)&L(31)&L(36)&L(12)&L(36)&L(12)

 
 → %u4141%u4141%u0016%u4141%u4141%u4141%u4242%u4242

 

 

 

[Payload] Magniber Ransomware

행위: Ransomware 
크기: 164,352 byte
C2 (1) : hxxp://ia9ji9uu81ug57449nk.jobnot.services/new1
C2 (2) : hxxp://ia9ji9uu81ug57449nk.jobnot.services/end1
확장자 :  .ihsdj
SHA256: 2e6f9a48d854add9f895a3737fa5fcc9d38d082466765e550cca2dc47a10618e

 

 

Magniber 랜섬웨어가 한국을 겨냥한 랜섬웨어라는 것은 아래와 같은 프로세스 때문일 것입니다. '0412'는 대한민국을 나타내며, 해당 언어가 아닐 시 프로세스는 멈추게 됩니다.

 

[그림] Language Number '0412'

 

[그림] Language Number '0412'

 

 

모든 파일을 암호화 하려는 듯한 랜섬웨이처럼 굉장히 많은 확장자를 암호화 합니다.

 

doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, em, vsd, vsdx, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt,
docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx,
potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi, vmx, gpg, aes, raw, cgm, nef, psd, ai, svg, djvu, sh, class,  jar,
java, rb, asp, php, jsp, brd, sch, dch, dip, p, vb, vbs, ps1, js, asm, h, pas, cpp, c, cs, suo, sln, ldf, mdf, ibd, myi,
myd, frm, odb, dbf, db, mdb, accdb, sq, sqlitedb, sqlite3, asc, lay6, lay, mm, sxm, otg, odg, uop, std, sxd, otp,
odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der,
1cd, cd, arw, jpe, eq, adp, odm, dbc, frx, db2, dbs, pds, pdt, dt, cf, cfu, mx, epf, kdbx, erf, vrp, grs, geo, st, pff,
mft, efd, rib, ma, lwo, lws, m3d, mb, obj, x, x3d, c4d, fbx, dgn, 4db, 4d, 4mp, abs, adn, a3d, aft, ahd, alf, ask,
awdb, azz, bdb, bib, bnd, bok, btr, cdb, ckp, clkw, cma, crd, dad, daf, db3, dbk, dbt, dbv, dbx, dcb, dct, dcx,
dd, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dx, eco, ecx, emd, fcd, fic, fid, fi, fm5, fo, fp3, fp4, fp5, fp7,
fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdn, mdt, mrg, mud, mwb, s3m, ndf, ns2, ns3, ns4, nsf, nv2, nyf, oce, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm, phm, pnz, pth, pwa,
qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, str,tcx, tdt, te, tmd, trm, udb, usr, v12, vdb, vpd,
wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, abw, act, aim, ans, apt, ase, aty, awp, awt, aww, bad, bbs, bdp,
bdr, bean, bna, boc, btd, cnm, crw, cyi, dca, dgs, diz, dne, docz, dsv, dvi, dx, eio, eit, emlx, epp, err, etf, etx,
euc, faq, fb2, fb, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, gtp, frt, fwdn, fxc, gdoc, gio, gpn, gsd, gthr, gv,
hbk, hht, hs, htc, hz, idx, ii, ipf, jis, joe, jp1, jrtf, kes, klg, knt, kon, kwd, lbt, lis, lit, lnt, lp2, lrc, lst, ltr, ltx, lue,
luf, lwp, lyt, lyx, man, map, mbox, me, ; min, mnt, mwp, nfo, njx, now, nzb, ocr, odo, of, oft, ort, p7s, pfs, pjt,
prt, psw, pu, pvj, pvm, pwi, pwr, qd, rad, rft, ris, rng, rpt, rst, rt, rtd, rtx, run, rzk, rzn, saf, sam, scc, scm, sct,
scw, sdm, sdoc, sdw, sgm, sig, sla, sls, smf, sms, ssa, sty, sub, sxg, tab, tdf, tex, text, thp, tlb, tm, tmv, tmx,
tpc, tvj, u3d, u3i, unx, uof, upd, utf8,utxt, vct, vnt, vw, wbk, wcf, wgz, wn,wp, wp4, wp5, wp6, wp7, wpa, wp,
wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xd, xlf, xps, xwp, xy3, xyp, xyw, ybk, ym, zabw, zw, abm, afx, agif,
agp, aic, albm, apd, apm, apng, aps, apx, art, asw, bay, bm2, bmx, brk, brn, brt, bss, bti,c4, ca, cals, can, cd5,
cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, dds, dgt, dib, djv, dm3, dmi, vue, dpx,
wire, drz, dt2, dtw, dv, ecw, eip, exr, fa, fax, fpos, fpx, g3, gcdp, gfb, gfie, ggr, gih, gim, spr, scad, gpd, gro,
grob, hdp, hdr, hpi, i3d, icn, icon, icpr, iiq, info, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbmp, jbr, jfif, jia, jng, jp2,
jpg2, jps, jpx, jtf, jw, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo, mrxs, my, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, asy, cdmm, cdmt, cdmz, cdt, cmx, cnv, csy, cv5, cvg, cvi,
cvs, cvx, cwt, cxf, dcs, ded, dhs, dpp, drw, dxb, dxf, egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7,
fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, gem, glox, hpg, hpg, hp, idea, igt, igx, imd, ink, lmk, mgcb,
mgmf, mgmt, mt9, mgmx, mgtx, mmat, mat, ovp, ovr, pcs, pfv, plt, vrm, pobj, psid, rd, scv, sk1, sk2,
ssk, stn, svf, svgz, tlc, tne, ufr, vbr, vec, vm, vsdm, vstm, stm, vstx, wpg, vsm, xar, ya, orf, ota, oti, ozb, ozj, ozt,
pa, pano, pap, pbm, pc1, pc2, pc3, pcd, pdd, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpg, pm,
pmg, pni, pnm, pntg, pop, pp4, pp5, ppm, prw, psdx, pse, psp, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d,
qmg, ras, rcu, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rw, s2mv, sci, sep, sfc, sfw, skm, sld, sob, spa,
spe, sph, spj, spp, sr2, srw, wallet, jpeg, jpg, vmdk, arc, paq, bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, backup, iso,
vcd, bmp, png, gif, tif, tiff, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp,mp4, mov, avi, asf, mpeg, vob, mpg, wmv,
fla, swf, wav, mp3

 

 

우리나라를 겨냥한 랜섬웨어에서 빠지지 않는 확장자 ' hwp ' 도 확인할 수 있습니다. 

 

[그림] 암호화 확장자

 


Magniber 랜섬웨어는 두 가지 스케쥴이 등록됩니다.

 1) 15분마다 랜섬웨어 파일 실행하여 암호화가 되지 않았을 경우 무한 반복합니다. 하지만 정상적인 암호화가 이루어질 땐 랜섬웨어 원본 파일이 삭제되어 스케쥴 동작에 에러가 발생합니다.

 

[그림] 원본 파일을 찾을 수 없습니다

 

 

2) 15분마다 랜섬노트를 띄워줍니다. 우리가 랜섬웨어 감염 사실을 잊을까봐 배려해준 개발자의 마음입니다.

 

[그림] 15분마다 랜섬웨어 파일 실행

 

[그림] 15분마다 랜섬노트 실행

 

 

정상적으로 랜섬웨어가 감염이 되었다면, 정상적으로 랜섬노트를 확인할 수 있습니다.

 

[그림] 랜섬노트

 

[Wins IPS]

 - [3789] MS IE Scripting Engine Memory Corruption

 

[Wins UTM]

 - [838861288] MS IE Scripting Engine Memory Corruption

 

[Wins APTX]

 - [2991] MS IE Scripting Engine Memory Corruption

 

 

 

Source

[Title 그림] https://www.malwarefox.com/35-ransomware-prevention-tips/ 

[Language Number 그림] http://toe10.tistory.com/10 

첨부파일 첨부파일이 없습니다.
태그 CVE-2016-0189  My Ransomware  Magnitude  Magniber