​
　

대표적인 파일리스(Fileless) 형태의 악성코드 중 하나인 매그니베르 랜섬웨어는 주로 인터넷익스플로러(IE)의 취약점을 이용해 유포된다. 사용자가 취약한 IE 브라우저를 통해 웹사이트에 접속하면 별도의 파일을 다운로드하지 않아도 감염되는 방식이다. 매그니베르 랜섬웨어가 국내에서 유포되기 시작한 것은 지난 2017년 중반으로, 이후 급증과 급감을 반복하며 많은 피해를 입혔다.

매그니베르 랜섬웨어를 지속적으로 모니터링하고 있던 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)는 지난 2월 11일, 매그니베르 랜섬웨어가 기존에 사용하던 IE 취약점과 다른 IE 취약점을 이용해 유포 중인 것을 확인했다. 앞서 이용하던 취약점은 IE 브라우저의 비주얼베이직 스크립트(VBScript) 취약점(CVE-2018-8174)이었으나 이번에 발견된 매그니베르 랜섬웨어는 자바스크립트(JavaScript) 취약점(CVE-2019-1367)을 이용하고 있다.

해당 취약점을 이용해 유입된 악의적인 쉘코드는 감염 PC의 메모리 상에서 동작하여 랜섬웨어를 다운로드해 IE 프로세스에 삽입(Injection)한다. 이러한 과정에 통해 랜섬웨어는 감염 PC 상에 파일 형태로 남지 않으면서 파일 암호화를 수행할 수 있다.

또한 악성 쉘코드는 감염 PC에 V3 제품과 관련된 프로세스가 존재하면 자기 자신을 인젝션하는 과정을 생략하도록 되어 있다. 이는 V3 제품에 의해 탐지 및 삭제되는 것을 방지하기 위한 것으로 보인다.

​
▲ V3 관련 프로세스를 확인하는 코드

현재 V3 제품은 IE 취약점 CVE-2019-1367을 이용하는 최신 메그니베르 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>
- Malware/MDP.Behavior.M2756


매그니베르 랜섬웨어는 2017년 국내에 유포되기 시작했을 당시 한국어 윈도우 시스템에서만 동작하도록 설계되어 있었으며, 2018년 상반기에 매그니베르 랜섬웨어에 의한 국내 피해 사례가 급증하는 등 대표적인 한국 타깃형 랜섬웨어로 알려져 있다. 여전히 우리나라에서는 IE 웹 브라우저 이용률이 높은 가운데, 매그니베르 랜섬웨어가 다수의 IE 취약점을 이용해 유포되고 있어 더욱 각별한 주의가 요구된다.

　

[출처 : 안랩(((www.ahnlab.com)]