매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포

개요	- 매그니베르(Magniber) 랜섬웨어가 마이크로소프트 윈도의 MOTW(Mark of the Web) 기능을 우회하면서 타이포스쿼팅 방식으로 활발하게 유포 - MOTW는 NTFS 파일 시스템에서 동작하며, 다운로드 URL은 NTFS 파일 시스템의 윈도에서 Stream에 기록 - URL이 저장되는 Stream은 ‘파일명 : Zone.Identifier : $DATA’ 형태로 파일 경로에 생성되며 노트패드를 통해 간단히 확인 가능 - MOTW 기능에 의해 식별된 다운로드 파일을 실행하게 되면 경고 메시지가 발생
내용	- 매그니베르 랜섬웨어는 현재도 유포되고 있으며, 백신의 탐지를 회피하기 위해 다양한 변화를 시도 - 일부는 마이크로소프트에서 파일 출처를 알려주는 MOTW를 우회한 것으로 확인 - 공격자는 9월 8일부터 29일까지 20여일에 걸쳐 스크립트를 이용해 공격 및 타이포스쿼팅(Typosquatting) 방식으로 유포 - 다운로드된 파일은 윈도의 MOTW 기능에 의해 외부에서 가져온 파일로 식별 - 매그니베르 랜섬웨어는 MOTW 실행 차단을 우회하기 위해 9월 8일부터 29일 사이에 스크립트 하단에 디지털 서명을 사용 - 스크립트의 디지털 서명은 스크립트를 작성한 후 서명을 통해 스크립트가 변경되지 않았음을 보장하고, 작성한 사람을 확인할 수 있는 방법을 제공 - 매그니베르 랜섬웨어의 스크립트 하단에 포함된 디지털 서명은 MOTW를 우회하기 위한 목적으로 분석 - 현재 매그니베르 랜섬웨어는 스크립트 형태로 유포되지 않고 MSI 확장자로 유포 - 랜섬웨어 감염 진단을 회피하기 위해 유포 기법을 끊임없이 변경하기 때문에 사용자들의 각별한 주의가 필요
참고	* 타이포스쿼팅(Typosquatting) - 개요 : 사회공학 기법의 일종으로 보편적으로 행해지고 있으며, 단순하지만 효과적인 공격 수법 - 공격 방식 : 정상 도메인과 비슷한 이름의 도메인을 등록 후 사용자의 오탈자 등으로 접속 시 악성코드 배포와 같은 악의적 행위가 이루어짐 - 도메인 가장 방식 : 대상 도메인의 오탈자, 다른 최상위 도메인, 관련 단어의 조합, 비슷하게 생긴 문자 등으로 도메인 생성 - 피해 범위 : 부당 이득, 광고 사기, 정보 탈취, 악성코드 유포, 명예 훼손 등 - 피해 사례 : 코로나19 팬데믹과 관련된 도메인 스푸핑 시도 - 대응 방안 : ① 주기적인 OS, 백신 업데이트 ② 몇몇 밴더사에서 제공하는 스푸핑 가능성이 존재하는 도메인 식별 서비스 등을 이용 ③ 사람들에게 의존하여 잘못된 도메인을 식별해야 한다는 사실로 인해 기술적 대응이 어려울 수 있음 ④ 추가적으로 법적 조치가 필요한 경우도 있으나, 범죄 조직의 경우 법적 조치에 거의 반응하지 않음 ⑤ 오히려 기업측에서 자체 도메인과 비슷한 도메인을 등록하여 올바른 URL로 리다이렉션하는 방안도 있으며, 이를 "방어적 등록" 혹은 "합법적 타이포스쿼팅"이라 함

 

- 보안뉴스

매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포