2017.10.23 한국서 확산 마이랜섬 랜섬웨어

1. 개요

• 한국을 집중 공격하는 마이랜섬(My Ransom) 랜섬웨어 확산

2. 내용

• 기사 내용
• 마이랜섬 랜섬웨어는 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 유포되며 해외에서는 매그니베르 또는 매그니버 랜섬웨어로 불리기도 함
  - 국내에서 최초 발견한 순천향대 SCH사이버보안연구센터가 마이랜섬 랜섬웨어로 작명
• 매그니베르는 매그니튜드(Magnitude) 익스플로잇 킷(Exploit Kit)과 케르베르(Cerber) 랜섬웨어의 합성어로 케르베르 랜섬웨어에서 변형되어 매그니튜드 익스플로익 킷을 통해 유포되는 새로운 랜섬웨어
  ※ 익스플로잇 킷(Exploit Kit)이란 악성코드를 유포하기 위해 사용하는 공격도구
• 지난 2017년 3월 파이어아이는 다이나믹 위협 인텔리전스(Dynamic threat Intelligence, DTI) 리포트를 통해 한국어 시스템만 공격하는 매그니베르 랜섬웨어에 대해 경고
  - 2017년 9월 말까지 보이다 사라졌ㅇ며, 지난 10월 15일 다시 한국만을 공격
  - 시스템의 언어가 한국어가 아닌 경우 실행되지 않음
• 최근까지 이메일을 통해 케르베르 랜섬웨어를 유포한 공격자들은 매그니베르 랜섬웨어를 유포
• 다시 등장한 매그니튜드 익스플로잇 킷은 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising) 형태로 확인됐으며, 랜딩 페이지는 파이어아이가 발견한 후 보고한 CVE-2016-0189로 구성됨
  ※ CVE-2016-0189 : 스크립팅 엔진 메모리 손상 취약점
  공격자가 피싱이나 E-Mail 등을 통해 URL클릭을 유도하여 악성코드나 임의의 코드를 실행할 수 있는 공격 방법으로 윈도우 익스플로러 8,9,10,11 버전에서 발생
• 샌드박스 시스템을 피하기 위해 해당 멀웨어는 가상머신에서 구동되는지 확인을 하고, 그 결과를 URL 콜백으로 첨부
• 가상머신 확인은 평균적으로 실행에 소용되는 시간을 확인하기 위해 여러 차례에 걸쳐 진행됐으며, 평균 소요시간이 1000보다 큰 경우 해당 시스템을 가상머신으로 분류
• 테스트가 실패한 경우 또는 멀웨어가 해당 시스템을 가상머신으로 판단한 경우에는 URL 마지막에 숫자 1을 기입하고, 가상머신이 아니라고 판단된 경우에는 숫자 0을 기입
  - URL 형식은 hxxp://[19 charater pseudorandom string].[callback domain]/new[0 or 1]