악성코드 분석 리포트
‘윈도우 긴급업데이트 설치 패키지’로 위장 ‘매그니베르 랜섬웨어 변종’‘윈도우 긴급업데이트 설치 패키지’로 위장, ‘샌드박스 탐지 우회기법’ 적용
매그니베르 랜섬웨어 변종
요약
1. 불법 다운로드, 광고 사이트로 위장한 악성코드 유포사이트를 통해 배포
2. 윈도우 긴급업데이트 설치 패키지로 위장 →피해자는 의심없이 다운로드 및 실행
3. 샌드박스 탐지기능 포함 → APT솔루션으로는 탐지불가
4. 감염 후 해커와 연락이 두절되어 데이터 복구조차 불가능
5. 매그니베르는 케르베르 랜섬웨어의 후속버전으로
현재까지 매그니베르 자체에서 변형된 8가지 변종 발견/공개
대응 방안
1. Privacy-i EDR과 같은 EDR 솔루션의 ‘행위기반 탐지엔진’으로 취약점 실행 차단
: 일반 Anti-Virus 솔루션에서도 대부분 차단 가능하나 최신 업데이트 필요
2. 악성코드 주요 감염경로인 P2P, 음란, 도박, 불법광고 사이트 연결차단
3. 메일 내용과 보내는이 계정에 연관성이 없거나, 문법적으로 어색하고,
신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일은 실행 금지
4. 비정상적인 프로세스 행위는 실시간으로 모니터링
5. 내부 데이터 보호를 위해 업무망 망분리 수행
6. OS 및 소프트웨어 보안 업데이트를 항상 최신형상으로 유지