매그니베르 랜섬웨어는 계속해서 유포되고 있으며, 이전부터 탐지를 피하기 위해 형태를 변경하는 등 다양하게 변해왔다. 그런데 최근, MOTW을 우회한 것으로 확인되는 스크립트 형태가 발견되었다.
9월 8일 ~ 9월 29일 사이에 스크립트를 이용해서 공격을 해왔는데, 타이포스쿼팅(typosquatting) 방식을 사용했다.
#타이포스쿼팅: URL 하이재킹. URL 철자를 속여서 공격 (비슷한 이름의 도메인 등록하는 것)
[과정]
① 잘못 입력한 도메인으로 접속 시 매그니베르 랜섬웨어가 다운로드
② MOTW 기능에 의해 외부 파일로 식별됨.
- 다운로드 URL은 NTFS 파일 시스템의 Stream에 기록됨.
- 형태: '파일명 : Zone.Identifier: $DATA'
- MOTW 기능에 의해 식별된 파일을 실행하게 되면 경고 메시지가 발생하게 되는 것.
▶ 이를 우회하기 위해 매그니베르는, 스크립트 하단에 디지털 서명을 사용
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] 러시아 공유 킥보드 플랫폼 Whoosh의 데이터 유출, 해킹 포럼에서 데이터 판매 中 (0) | 2022.11.15 |
|---|---|
| [보안이슈] 호주 건강 보험 회사 Medibank, 랜섬웨어 당한 후 몸값 지불 거부 (0) | 2022.11.14 |
| [보안이슈] 낫페트야(NotPetya) 사태로부터 시작된 사이버 보험 재판 (0) | 2022.11.07 |
| [보안이슈] SQLite 라이브러리에서 고위험도 취약점 공개, 해당하는 버전은 1.0.12 ~ 3.39.1 (0) | 2022.11.04 |
| [보안이슈] Google Play 스토어의 VPN 앱들 중 38%가 멀웨어 (0) | 2022.11.03 |