개요
TrendMicro의 보안연구원에 따르면, Magnitude EK*가 한국대상으로 제작된 마이랜섬(magniber) 유포에 사용되었다고 발표
* Magnitude EK(Exploit Kit) : 2013년 초반부터 전 세계 대상 사이버 범죄에 사용되었으며, 광고플랫폼 공격에 자주 이용됨
주요내용
(유포 방법) 매그니튜드 EK를 이용하여 클라이언트 IP 주소 및 시스템 언어의 위치 정보를 사용하여 악성링크가 삽입된 광고페이지를 노출
- 피해 시스템 설치된 운영체제 환경이 한국어의 문자열(0x0412)와 일치할 경우 동작하도록 제작
(주요 특징) 마이랜섬(Magniber) 랜섬웨어는 워너크라이 랜섬웨어와 같이 내부 전파 기능은 존재하지 않으며 악성 광고페이지 노출처럼 다운로드 방식으로 감염 유도
• ‘.kgpvwnr, .ihsdj’로 파일 확장자를 변경
• 바탕화면 폴더를 포함한 모든 폴더에 랜섬노트 파일 생성
- ‘READ_ME_FOR_DECRYPTOR_[ID].txt’, ‘_HOW_TO_DECRYPT_MY_FILES_[ID]_.txt’
• 악성코드 실행파일의 용량을 80MB 크기로 제작·유포하여 백신탐지 우회
• 멀버타이징(Malvertising)* 방식으로 유포 (취약한 홈페이지에 접근하는 것만으로 감염)
* 온라인 광고를 통해 악성코드를 유포하는 방법
감염시 15분마다 지속적으로 암호화를 시도하므로 백업 등의 조치를 위해서는 랜섬웨어가 등록한 스케줄러 우선 삭제
<그림1. 랜섬웨어 감염시 스케줄러 삭제 방법>
아래와 같이 URL주소(Tor)를 명시하여 가상화폐(2Bitcoin)를 지불 유도 랜섬노트 파일 생성
<그림2. 마이랜섬 감염시 랜섬노트>
시사점
국내 사용자들을 타깃으로 유포되고 있어 랜섬웨어 감염 피해 예방을 위한 주의 필요
- 한국인터넷진흥원 보호나라 홈페이지를 통해 ‘마이랜섬’ 피해 예방 보안 공지 게재
[출처]
1 http://blog.trendmicro.com/trendlabs-security-intelligence/magnitude-exploit-kit-now-targeting-korea-with-magniber-ransomware/
2. https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26761
'Security_News > 해외보안소식' 카테고리의 다른 글
| NIST, 사물인터넷 사이버보안 학회 개최 발표 (0) | 2017.10.31 |
|---|---|
| 베라코드(Veracode), 소프트웨어 보안 상태 2017 발표 (0) | 2017.10.31 |
| 안드로이드 앱과 WordPress 사이트에서 발견된 Coinhive (0) | 2017.10.31 |
| 유튜브 URL로 스푸핑하는 페이스북의 링크 (0) | 2017.10.31 |
| 윈도 10 버전 1709, 안티 랜섬웨어 기능 포함 (0) | 2017.10.30 |