2020.04.02 (목)

  • 맑음동두천 4.8℃
  • 구름많음강릉 5.1℃
  • 맑음서울 6.7℃
  • 맑음대전 6.8℃
  • 맑음대구 10.1℃
  • 울산 8.5℃
  • 구름많음광주 7.0℃
  • 구름조금부산 11.8℃
  • 맑음고창 7.1℃
  • 구름조금제주 9.6℃
  • 구름조금강화 6.0℃
  • 맑음보은 4.1℃
  • 맑음금산 5.7℃
  • 맑음강진군 7.2℃
  • 흐림경주시 7.9℃
  • 맑음거제 11.3℃
기상청 제공
닫기

문화 넓게 보기

매그니베르 랜섬웨어가 또? IE 취약점 바꿔가며 유포 중

슬기로운 컴퓨터ㆍ손말틀(휴대전화) 쓰기를 위한 귀띔

[우리문화신문=이한영 기자]  매그니베르(Magniber) 랜섬웨어의 움직임이 심상치 않다. 2018년부터 증감을 반복하던 매그니베르 랜섬웨어가 최근 인터넷익스플로러(Internet Explorer, IE) 취약점을 바꿔가며 유포되고 있기 때문이다. 매그니베르 랜섬웨어가 다시 공세로 돌아설 우려가 높아지는 만큼 개인과 기업 사용자의 각별한 주의가 필요하다.

 

 

대표적인 파일리스(Fileless) 형태의 악성코드 가운데 하나인 매그니베르 랜섬웨어는 주로 인터넷익스플로러(IE)의 취약점을 이용해 유포된다. 사용자가 취약한 IE 브라우저를 통해 웹사이트에 접속하면 별도의 파일을 다운로드하지 않아도 감염되는 방식이다. 매그니베르 랜섬웨어가 국내에서 유포되기 시작한 것은 지난 2017년 중반으로, 이후 급증과 급감을 반복하며 많은 피해를 입혔다.

 

매그니베르 랜섬웨어를 지속적으로 모니터링하고 있던 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)는 지난 2월 11일, 매그니베르 랜섬웨어가 기존에 사용하던 IE 취약점과 다른 IE 취약점을 이용해 유포 중인 것을 확인했다. 앞서 이용하던 취약점은 IE 브라우저의 비주얼베이직 스크립트(VBScript) 취약점(CVE-2018-8174)이었으나 이번에 발견된 매그니베르 랜섬웨어는 자바스크립트(JavaScript) 취약점(CVE-2019-1367)을 이용하고 있다.

 

해당 취약점을 이용해 유입된 악의적인 쉘코드는 감염 컴퓨터의 메모리 상에서 동작하여 랜섬웨어를 내려받아 IE 프로세스에 삽입(Injection)한다. 이러한 과정에 통해 랜섬웨어는 감염 컴퓨터 상에 파일 형태로 남지 않으면서 파일 암호화를 수행할 수 있다.

 

또한 악성 쉘코드는 감염 컴퓨터에 V3 제품과 관련된 프로세스가 존재하면 자기 자신을 까는 과정을 생략하도록 되어 있다. 이는 V3 제품에 의해 탐지하거나 삭제되는 것을 방지하기 위한 것으로 보인다.

 

 

현재 V3 제품은 IE 취약점 CVE-2019-1367을 이용하는 최신 메그니베르 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.

 

<V3 제품군 진단명>

- Malware/MDP.Behavior.M2756

 

매그니베르 랜섬웨어는 2017년 국내에 유포되기 시작했을 당시 한국어 윈도우 시스템에서만 동작하도록 설계되어 있었으며, 2018년 상반기에 매그니베르 랜섬웨어에 의한 국내 피해 사례가 급증하는 등 대표적인 한국 타깃형 랜섬웨어로 알려져 있다. 여전히 우리나라에서는 IE 웹 브라우저 이용률이 높은 가운데, 매그니베르 랜섬웨어가 다수의 IE 취약점을 이용해 유포되고 있어 더욱 각별한 주의가 요구된다.

 

                                                                                                  AhnLab ASEC 분석팀