ASEC 分析チームは1月28日の午前、Magniber ランサムウェアが正常な Windows インストーラー(MSI)に偽装して配布を再開したことを確認した。MSI の拡張子で配布されている Magniber のファイル名は、以下のように Windows アップデートファイルに偽装している。以下の図のように、当社のログシステムを通して確認した結果、1月27日を基準に配布量が増加したことを確認することができる。
- MS.Update.Center.Security.KB17347418.msi
- MS.Update.Center.Security.KB2562020.msi
- MS.Update.Center.Security.KB44945726.msi
[図1] 当社のログシステムを通して確認された Magniber ランサムウェアの配布量増加
現在 Magniber が配布されるサイトでは過去に共有された MOTW(Mark of the Web)を利用したドメイン遮断を回避するために<a>タグを利用してダウンロードデータを追加する方式で配布されている。
<a>タグの href を base64 でエンコードされた magniber ファイル(zip or msi)をスクリプトに追加してダウンロードされる場合、HostUrl に about:internet として残るが、これはドメイン遮断を回避するために追加されたものと推定される。
[図2] <a> タグを利用した MOTW 回避
上記のような Magniber はファイルの暗号化のために妨害される部分はすべて消去して配布しようとする。
シグネチャベースの Anti Virus 製品のファイルベース検知の回避はもちろん、リアルタイムで変形を製作して配布される。
[図3] Virus Total に収集されない Magniber マルウェア
APT 検知ソリューションである MDS 製品はこのファイルが流入すると、MDS Agent によってまずサンドボックス環境で実行し、このファイルが不正であるかを確認する。
[図4] Magniber ランサムウェアの検知画面(AhnLab MDS)
[図5] MDS デコイ変造検知画面(AhnLab MDS)
MDS は、疑いのある場所から流入した msi ファイルをサンドボックス環境でファイルの暗号化有無を判断し、ランサムウェアと検知されると、ユーザーにファイルが不正であることを知らせる。
Endpoint で疑いのある振る舞いを記録/検知する EDR も Magniber 配布(.zip)ファイルをダウンロードして実行すると、ランサムウェアとして検知される。
[図6] EDR 疑いのある振る舞いの検知画面(AhnLab EDR)
[図7] ブラウザからダウンロードされた zip ファイルの記録(AhnLab EDR)
[図8] 疑いのあるファイルの流入パス(AhnLab EDR)
[図9] デコイ検知ダイアグレム(AhnLab EDR)
[図10] ボリュームシャドーのコピー削除の検知(AhnLab EDR)
ダウンロードされた MSI パッケージファイルは、正常な Windows アップデートにも使用される一種のインストール Framework である。Magniber は MSI パッケージファイル内に Magniber ランサムウェアの DLL を忍ばせて配布されている。
[図11] dkbqlodrizgs バイナリ(DLL)を含んだパッケージ
MSI は基本的に Custom Action テーブルを通じて DLL のエクスポート関数呼び出し機能を提供する。Magniber の攻撃者はこの点を悪用して MSI の実行時に Magniber ランサムウェアの DLL エクスポート関数が実行されるようにしている。
https://docs.microsoft.com/en-us/windows/win32/msi/custom-actions
実行された DLL によってファイルの暗号化およびボリュームシャドー削除の振る舞いを実行し、ユーザー PC をランサムウェアに感染させる。
[図12] CustomAction 内に表示された dkbqlodrizgs の rsmvmdibw エクスポート関数呼び出し
現在、Magniber は最新バージョンの Windows 版 Chrome、Edge ブラウザのユーザーをターゲットに、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)の手法で配布されている。したがって、ユーザーがタイプミスしたドメインによって今回の事例のようなランサムウェアの配布につながる可能性があるため、特に注意が必要である。
現在 AhnLab では、Magniber ランサムウェアについて以下の通り対応している。
[IOC] [Magniber dll 生成パス] – C:\Users\[UserName]\AppData\Local\Temp\MSI[ランダムな4桁].tmp
[Magniber dll ファイル検知] – Ransomware/Win.Magniber.C554966 (2022.01.30.01)
[Magniber msi ファイル検知] – Ransomware/Win.Magniber (2022.01.30.01)
[Magniber dll MD5]
35c3743df22ea0de26aeac37a88da1c9
0723b125887e632bd2203680b75efb57
1484d68f70fca635fa36bdf6d0493fbf
fad8957047b31c13ac7ae4f72c4775d4
aa4c28fb3cd600745aa0abd616b2b128
c32d55881a9290267ddbe7005b12b6b8
bd952ad584866bcd4454a3385b615c74
be1fbf7bf36efcf84a604da24b93d97f
162d6827d206fbab285c09b518f30ec9
[Magniber msi MD5]
65ac438561b3a415876dff89d2804a13
35c3743df22ea0de26aeac37a88da1c9
0723b125887e632bd2203680b75efb57
1484d68f70fca635fa36bdf6d0493fbf
fad8957047b31c13ac7ae4f72c4775d4
aa4c28fb3cd600745aa0abd616b2b128
c32d55881a9290267ddbe7005b12b6b8
bd952ad584866bcd4454a3385b615c74
be1fbf7bf36efcf84a604da24b93d97f
162d6827d206fbab285c09b518f30ec9
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: AhnLab 検知