양쪽 이전 판
이전 판
다음 판
|
이전 판
다음 판
양쪽 다음 판
|
magniber [2024/04/03 21:01] 14.63.160.16 이전 판으로 되돌림 (2024/04/04 04:48) |
magniber [2024/05/07 21:03] 127.0.0.1 이전 판으로 되돌림 (2024/03/22 19:01) |
| ====== Magniber ====== |
| |
| Magniber(혹은 매그니버, 매그니베르)는 이전 CBER 계열 랜섬웨어의 변종으로 [[exploit:magnitude|Magnitude]] Exploit Kit으로 배포되어 붙여진 이름이다. |
| |
| 주요 공격 대상은 한국어를 사용하는 윈도우즈 시스템이다. |
| |
| AES-128-CBC 알고리즘을 사용한다. 요구 금액은 0.2~0.4 BTC(비트코인)이고 5일 내에 지급되어야 한다. |
| |
| 파일 1건에 한하여 공격자의 웹 사이트에서 무료로 복호화 할 수 있다. |
| |
| ==== 변천사 및 특징 ==== |
| |
| * 2017년 10월 14일, 첫 magniber 랜섬웨어 암호화 사례 [[id:kgpvwnr|kgpvwnr]] 확장자 파일 확인됨 |
| * 같은 암호화 방식인 [[id:ihsdj|ihsdj]] 확장자 파일 확인됨 |
| * 네트워크 동적키(dynamic key), 내장된 정적키(static key) 확인됨. 한국어 사용자에게만 동적키 적용하여 복호화 어렵게 만듬. |
| * [[org:malwarebytes|Malwarebytes]]에서 **정적키에 한하여 [[https://gist.github.com/evilsocket/b89df665e6d52446e3e353fc1cc44711|복호화 방법]]이 나옴.** 암호화 과정에서 동적키를 받지 않은 사례가 있어 복호화 가능. |
| * 암호화 알고리즘의 블록 길이 표현이 변경됨 |
| * [[winapi:GetTickCount]] API를 이용한 밀리초(ms) 단위 랜덤 초기화 벡터(IV) 첫 적용. 복호화 이후에도 헤더(첫 16 바이트)가 깨지는 특징을 가짐. |
| * **[[org:ahnlab|안랩]]이 랜덤 초기화 벡터(IV)와 정적키(static key), 블록 길이 문제에 대응한 Magniber 복호화 도구를 배포함** |
| * 일부 형식은 샘플에서 정적키를 직접 취득 후 복호화하는 시도가 필요함. |
| * 파일리스(fileless) 방식의 배포로 변경. [[id:exe|EXE]] 실행 파일이 아닌 [[id:dll|DLL]] 등의 동적 적재가 가능한 형태로 변경됨. |
| * 초기화 벡터(IV)와 키(Key)를 모두 랜덤화. 하지만 여전히 [[winapi:GetTickCount]] API로 부터 비롯되는 [[https://gist.github.com/hasherezade/7fb69fbd045315b42d7f962a83fdc300|취약점]]의 여지는 남기고 있음. |
| * 성인만화(hitomi.la), 유투브 다운로더(Youtube downloader) 웹 사이트를 중심으로 공격적인 배포가 이루어짐. (형식: [[id:axrxru|axrxru]]) |
| * 이 이후로는 추가 복호화 절차가 나오지 않음. |
| * 악성광고, 전자우편 등으로 배포 경로 확대. 추후 [[org:gandcrab|갠드크랩]], [[org:sodinikibi|소디노키비]]로 발전 |
| * 새로운 파생 랜섬웨어가 나왔음에도 지속적인 신규 사례가 나오고 있음. |
| |
| ==== 복호화 도구 (decryption tool) ===== |
| * [[org:malwarebytes|Malwarebytes]]: [[https://blog.malwarebytes.com/threat-analysis/2017/10/magniber-ransomware-exclusively-for-south-koreans/|here]] |
| * [[org:ahnlab|안랩]]: [[https://asec.ahnlab.com/1125?category=342981|here]] |
| |
1 | |
==== 복호화 주의사항 ==== | ==== 복호화 주의사항 ==== |
* [[org:malwarebytes|Malwarebytes]]: 초기버전 Magniber의 정적키로 암호화된 파일에 적용 가능하다. KEY/IV 필수 | * [[org:malwarebytes|Malwarebytes]]: 초기버전 Magniber의 정적키로 암호화된 파일에 적용 가능하다. KEY/IV 필수 |
* [[https://asec.ahnlab.com/1094|Magniber 랜섬웨어 유포 스크립트의 변화]] (안랩, 2018-03-05) | * [[https://asec.ahnlab.com/1094|Magniber 랜섬웨어 유포 스크립트의 변화]] (안랩, 2018-03-05) |
* [[https://asec.ahnlab.com/1100|Magniber 랜섬웨어 구동 방식의 변화 (TSWbPrxy.exe 사용)]] (안랩, 2018-03-16) | * [[https://asec.ahnlab.com/1100|Magniber 랜섬웨어 구동 방식의 변화 (TSWbPrxy.exe 사용)]] (안랩, 2018-03-16) |
* [[https://www.2-spyware.com/remove-magniber-ransomware-virus.html|Magniber – a dangerous ransomware virus which returns with the stronger version to infect Korean PC users]] (2-Spyware)"'`-- | * [[https://www.2-spyware.com/remove-magniber-ransomware-virus.html|Magniber – a dangerous ransomware virus which returns with the stronger version to infect Korean PC users]] (2-Spyware) |