상세 컨텐츠

본문 제목

윈도우 디펜더 "제어된 폴더 엑세스"를 해제시키는 매그니베르 랜섬웨어 주의

악성코드 분석 리포트

by 알약4 2022. 11. 8. 15:08

본문



안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
해킹당한 광고서버를 통한 매그니베르 랜섬웨어 유포가 지속되고 있습니다. 

파일명은 'MS.Update.Center.Security.KB랜덤7자리숫자' 로, 크롬브라우저 사용자의 경우 .msi 파일 확장자로, 엣지 브라우저 사용자의 경우 .msi 파일이 포함된 압축파일 형태로  브라우저를 통해 사용자 PC에 자동으로 다운로드 됩니다. 

 

 

[그림 1] 광고서버를 통해 자동으로 다운로드 된 MSI 파일

 

 

msi 파일 exe 파일과 동일하게 파일을 설치할 수 있는 파일이지만. 상대적으로 일반 사용자들에게 알려져 있지 않아, 사용자들이 해당 파일을 실행할 가능성이 더 높습니다. 

 

MSI 파일 내부에는 인코딩된 악성 VBS 스크립트가 포함되어 있으며 디코딩 된 내용은 다음과 같습니다. 

 

 

WMIC  /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Set EnableControlledFolderAccess=0 : 윈도우 디펜더 내 제어된 폴더 엑세스 기능 해제

bcdedit /set {default} bootstatuspolicy ignoreallfailures : Windows 오류 복구 알림창 표시 해제

bcdedit /set {default} recoveryenabled no : 복구 모드 사용 안함

wbadmin delete catalog -quiet : 백업 카탈로그 삭제

wbadmin delete systemstatebackup -quiet : 시스템 백업 삭제

wmic shadowcopy delete /nointeractive : 볼륨 쉐도우 삭제

 

 

VBS 스크립트 내에는 일반적인 랜섬웨어들처럼 감염 사용자의 시스템 복구를 막기 위하여 볼륨쉐도우를 삭제하고 윈도우 환경의 복구 시점 및 기능 비활성화 명령이 포함되어 있습니다. 

 

뿐만 아니라 윈도우 디펜더의 EnableControlledFolderAccess 값을 0으로 변경하여 [제어된 폴더 엑세스 기능]을 해제를 통한 MS의 보안정책을 우회하는 기능이 추가되었습니다.

 

 

[그림 2] 제어된 폴더 엑세스 기능 해제

 

 

[제어된 폴더 엑세스 기능]은 증가하는 랜섬웨어 공격에서 사용자를 보호하기 위하여 MS에서 윈도우 디펜더에 추가한 기능입니다. 제어된 폴더 엑세스 기능을 활성화 하면 신뢰할 수 있는 앱만 보호된 폴더에 접근하도록 허용하며, 신뢰할 수 있는 목록에 포함되지 않은 앱이 제어된 폴더 내 파일 변경을 시도하면 차단합니다. 

 

공격자는 제어된 폴더 엑세스 기능 해제를 통해 MS의 보안정책을 무력화 시킵니다.

 

VBS스크립트와 함께 매그니베르 랜섬웨어가 실행되며, 사용자 PC내 파일들을 암호화 후 확장자를 기존 파일명.tbviecrvi로 변경하고 랜섬노트를 생성합니다. 

 

 

[그림 3] 랜섬노트

 

 

얼마 전 바탕화면 변경 기능이 추가된 매그니베르 랜섬웨어가 발견되었는데, 이번에 유포되고 있는 매그니베르 랜섬웨어는 바탕화면 변경기능이 포함되지 않은 버전으로 확인되었습니다. 


매그니베르 랜섬웨어 위협이 지속되고 있습니다. 


사용자 여러분들께서는 인터넷 사용과정 중 의도하지 않은 파일이 웹브라우저를 통해 자동으로 다운로드 된다면, 실행하지 마시고 바로 삭제하시기를 권고드립니다. 


현재 알약에서는 해당 파일에 대해 Trojan.Ransom.Magniber로 탐지중에 있으며, 변종에 대해 지속적으로 모니터링 중에 있습니다. 



 

 

참고 :

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/controlled-folders?view=o365-worldwide

관련글 더보기

댓글 영역