News

매그니베르 랜섬웨어, 아직 죽지 않았다

imaginefuture-1 2024. 12. 9. 08:26

https://www.boannews.com/media/view.asp?idx=134982

 

매그니베르 랜섬웨어, 아직 죽지 않았다

2017년에 처음 등장한 ‘매그니베르 랜섬웨어(Magniber Ransomware)’는 한국과 아시아 지역을 타깃으로 활동하는 랜섬웨어 조직이다. 매그니베르는 개인 사용자와 중소기업을 대상으로 공격해 데이

www.boannews.com

 


공격 방식과 공격 변화 추세 살펴보니
매그니베르는 ‘드라이브-바이 다운로드(Drive-by Download)’ 기법을 활용해 사용자 기기에 악성코드를 설치한다. 드라이브-바이 다운로드 기법이란, 보안이 취약한 웹사이트에 악성코드를 심어 놓고, 보안패치가 마련돼 있지 않은 컴퓨터가 해당 웹사이트에서 웹서핑을 하는 것만으로도 악성코드에 감염되게 하는 악성코드 유포 방식을 말한다.

공격자는 악성 광고 네트워크를 통해 감염된 웹사이트를 방문한 사용자의 시스템에 자동으로 랜섬웨어를 설치한다. 그 이후 공격 대상의 데이터를 암호화하고, 파일 확장자를 ‘.crypted’ 또는 다른 랜덤 확장자로 변경한다. 암호화가 완료되면 비트코인으로 몸값을 지불하라는 메시지가 피해자에게 랜섬노트를 통해 전달된다.

매그니베르 랜섬웨어가 처음 등장했던 2017년에는 앵글러 익스플로잇 킷(Angler Exploit Kit)을 사용해 배포됐다. 하지만 2018~2020년에는 악성 광고 네트워크를 통해 감염을 유발시켰다. 2021년 이후에는 악성 문서 파일, 소프트웨어 업데이트 위장, 정교한 사회공학적 기법을 사용하며 유포 방식이 진화됐다. 올해 들어 매그니베르 랜섬웨어는 특정 국가나 지역을 대상으로 정교한 타깃형 공격을 시도하며, 주로 윈도 10 시스템과 같은 최신 운영체제를 겨냥하고 있는 모습을 보이고 있다.

 

ㄷㄷ 역시 비트코인은..음지의 돈..

 


올해 초에는 가짜 아래아 한글(HWP) 소프트웨어 업데이트를 통한 랜섬웨어 감염 사례가 급증했다. 이번 공격은 개인 사용자와 중소기업이 주요 피해 대상이었다. 올해 7월에는 불법 소프트웨어를 경유한 감염이 발생했다. 불법 소프트웨어를 다운로드한 사용자를 대상으로 매그니베르가 유포됐으며, 파일 복구를 위한 비용 요구 사례가 다수 보고됐다.

 

 

hwp ㄷㄷㄷ 보안 경고!

 

매그니베르 공격 기법 7가지
매그니베르 랜섬웨어의 공격 기법은 크게 7가지로 구분할 수 있다. 첫 번째는 
‘드라이브 바이 다운로드(Drive-by Download)’
 방식이다. 사용자가 악성 광고 네트워크를 통해 감염된 웹사이트를 방문하면, 추가적인 사용자 상호작용 없이 자동으로 악성코드가 다운로드된다. 이를 위해 공격자는 보안 취약점이 있는 브라우저, 플러그인 혹은 운영체제를 노린다. 초기에는 주로 인터넷 익스플로러 등 구형 브라우저의 취약점을 이용했지만, 그 이후에는 더 폭넓은 플랫폼으로 확장됐다.

두 번째는 
‘취약점 익스플로잇’
이다. 매그니베르는 초기 단계에서 익스플로잇 킷(Exploit Kit)을 사용했다. 이 툴킷은 브라우저와 플러그인의 보안 취약점을 스캔해 악성코드를 실행할 수 있는 환경을 만든다. 과거 사용된 익스플로잇 킷으로는 매그니튜드(Magnitude Exploit Kit)와 앵글러(Angler Exploit Kit)가 있다. 이를 통해 자바스크립트를 이용해 악성코드를 심는 방식으로 동작했다.

세 번째는 
‘파일리스 공격(Fileless Attack)’
이다. 시스템의 기존 파일을 활용하거나 메모리 내에서만 동작하는 방식을 통해 탐지를 어렵게 만든다. 매그니베르는 감염 과정에서 시스템 파일을 직접 조작하지 않고, 레지스트리 또는 메모리를 사용해 실행된다.

네 번째는 
‘사회공학적 기법(Social Engineering)’
이다. 공격자는 사용자 신뢰를 유도하기 위해 공식적인 업데이트 알림이나 정상적인 소프트웨어 설치 프로그램처럼 위장한다. 사용자가 의심 없이 정상으로 위장한 악성 프로그램을 실행하도록 ‘보안 업데이트 필요’ 등 특정 상황이나 긴급성을 강조하는 메시지를 사용한다.

다섯 번째는 
‘암호화 알고리즘’
이다. 메그니베르는 AES-256과 RSA-2048 같은 강력한 암호화 알고리즘을 사용해 데이터를 잠근다. 암호화 후 생성되는 복구 키는 공격자의 서버에 저장되며, 피해자가 몸값을 지불하지 않으면 복구가 불가능하게 만든다.

여섯 번째는 
‘다중 확장자 방식(Extension Switching)’
이다. 매그니베르는 암호화된 파일의 확장자를 랜덤하게 변경해 피해자가 파일 종류를 쉽게 식별하지 못하게 한다. 확장자는 주기적으로 업데이트되며, 이는 탐지와 대응을 더 어렵게 만든다.

일곱 번째는 
‘감염 확산(Lateral Movement)’
이다. 매그니베르는 네트워크 내 다른 컴퓨터로 감염을 확산시킬 수 있는 기능을 내장해 기업 환경에서 추가 피해를 발생시킨다. 공격자는 SMB(Server Message Block, 서버 메시지 블록) 프로토콜과 같은 네트워크 기능을 악용해 내부 네트워크를 이동한다.

 

 

**익스플로잇 킷(Exploit Kit)**는 사이버 공격 도구 모음으로, 특정 보안 취약점을 자동으로 찾아내고 악용하여 피해자의 시스템에 악성 코드를 실행시키는 데 사용됩니다. 주로 해커들이 웹사이트에 배포하거나, 악성 광고(멀버타이징) 등을 통해 전파합니다.

익스플로잇 킷의 주요 특징

  1. 자동화된 공격:
    • 익스플로잇 킷은 공격자가 대상 시스템을 수동으로 해킹할 필요 없이, 자동으로 취약점을 검색하고 공격을 수행함.
    • 피해자의 브라우저, 운영체제, 플러그인(예: Adobe Flash, Java, 브라우저 확장 프로그램 등)의 취약점을 이용.
  2. 웹 기반 작동:
    • 익스플로잇 킷은 대부분 웹 서버에서 호스팅되어 피해자가 악성 웹사이트를 방문하거나 악성 광고를 클릭하도록 유도.
    • 브라우저 취약점을 주로 악용.
  3. 다양한 공격 포함:
    • 파일 다운로드 공격(Drive-by Download).
    • 랜섬웨어, 스파이웨어, 트로이 목마 등의 악성코드 설치.
    • 피해자의 데이터를 탈취하거나 시스템을 감염.
  4. 패키지 형태:
    • 여러 취약점 공격 코드(Exploit)를 포함하는 패키지로 구성.
    • 최신 취약점(CVE) 정보가 지속적으로 업데이트됨.

익스플로잇 킷의 작동 원리

  1. 피해자 유도:
    • 공격자는 악성 웹사이트, 이메일 피싱, 멀버타이징을 통해 피해자가 특정 URL을 방문하게 함.
  2. 취약점 스캔:
    • 익스플로잇 킷은 피해자의 브라우저 및 플러그인(Flash, Java, ActiveX 등)을 분석하여, 사용 가능한 취약점을 식별.
  3. 취약점 공격:
    • 발견된 취약점에 맞는 익스플로잇 코드 실행.
    • 예: 피해자의 브라우저 취약점을 통해 악성 파일을 다운로드 및 실행.
  4. 악성코드 설치:
    • 익스플로잇 킷은 성공적으로 시스템에 접근한 후, 랜섬웨어, 스파이웨어, 백도어 등을 설치.

주요 익스플로잇 킷 예시

  1. Angler Exploit Kit:
    • 과거 가장 널리 사용되던 킷 중 하나로, Adobe Flash 및 Java 취약점을 악용.
    • 랜섬웨어 및 드라이브-바이 다운로드 공격.
  2. Nuclear Exploit Kit:
    • 주로 브라우저와 플러그인 취약점을 겨냥.
    • 멀버타이징을 통해 확산.
  3. Rig Exploit Kit:
    • Adobe Flash와 Internet Explorer 취약점을 주로 악용.
    • 랜섬웨어 및 크립토마이너 설치.
  4. Neutrino Exploit Kit:
    • 다양한 취약점을 악용하며, 특히 암호화폐 채굴 악성코드를 설치하는 데 사용.
  5. Magnitude Exploit Kit:
    • 동아시아 지역을 주요 대상으로 활동.
    • 랜섬웨어 배포에 활용.

익스플로잇 킷 방어 방법

  1. 소프트웨어 및 플러그인 업데이트:
    • 브라우저와 운영체제를 항상 최신 상태로 유지.
    • 취약점 패치가 제공되면 즉시 적용.
  2. 플러그인 최소화:
    • Flash Player, Java 등 사용하지 않는 플러그인은 제거.
  3. 보안 소프트웨어 사용:
    • 신뢰할 수 있는 안티바이러스 및 안티익스플로잇 소프트웨어 설치.
  4. 악성 사이트 차단:
    • 브라우저 확장 프로그램(예: uBlock Origin)으로 악성 광고 및 URL 차단.
  5. 네트워크 모니터링:
    • 기업 환경에서는 IPS(Intrusion Prevention System)나 IDS(Intrusion Detection System)를 통해 네트워크 이상 활동을 감지.
  6. 피싱 방지 교육:
    • 이메일 및 링크 클릭 시 주의하도록 사용자 교육.

익스플로잇 킷의 위험성과 대응

  • 익스플로잇 킷은 공격자가 전문적인 프로그래밍 기술 없이도 자동화된 사이버 공격을 수행할 수 있게 해줍니다.
  • 따라서 개인 사용자뿐만 아니라 기업과 기관의 보안 시스템에서도 큰 위협이 됩니다.
  • 주기적인 업데이트와 예방적인 보안 조치가 가장 효과적인 방어책입니다.

 

보안을 위한 강력한 암호화 알고리즘은 역으로 공격당했을때의 무기로 사용된다.

거울대전 그 자체..

'News' 카테고리의 다른 글

랜섬웨어 그룹 랜섬허브, 자사 사이트에 한국기업 ‘고려제강’ 데이터 공개  (0) 2024.12.11
중국에서 활동 중인 미국 기업, 중국 해킹 조직의 감시와 침해에 노출돼  (0) 2024.12.10
[한 주를 관통하는 보안 소식] 2024년 12월 1주차, “대통령들”  (0) 2024.12.08
윤석열 대통령 대국민 담화 “제2의 계엄, 결코 없을 것”  (0) 2024.12.07
[bnTV] 제2의 서울의 봄? 국장 진입 기회인가, 침몰의 시작일까? (Feat. 탄핵정국)  (0) 2024.12.06

'News'의 다른글

  • 현재글매그니베르 랜섬웨어, 아직 죽지 않았다

관련글

티스토리툴바