‘윈도우 긴급업데이트 설치 패키지’로 위장, ‘샌드박스 탐지 우회기법’ 적용
매그니베르 랜섬웨어 변종
요약
1. 불법 다운로드, 광고 사이트로 위장한 악성코드 유포사이트를 통해 배포
2. 윈도우 긴급업데이트 설치 패키지로 위장 →피해자는 의심없이 다운로드 및 실행
3. 샌드박스 탐지기능 포함 → APT솔루션으로는 탐지불가
4. 감염 후 해커와 연락이 두절되어 데이터 복구조차 불가능
5. 매그니베르는 케르베르 랜섬웨어의 후속버전으로
현재까지 매그니베르 자체에서 변형된 8가지 변종 발견/공개
대응 방안
1. Privacy-i EDR과 같은 EDR 솔루션의 ‘행위기반 탐지엔진’으로 취약점 실행 차단
: 일반 Anti-Virus 솔루션에서도 대부분 차단 가능하나 최신 업데이트 필요
2. 악성코드 주요 감염경로인 P2P, 음란, 도박, 불법광고 사이트 연결차단
3. 메일 내용과 보내는이 계정에 연관성이 없거나, 문법적으로 어색하고,
신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일은 실행 금지
4. 비정상적인 프로세스 행위는 실시간으로 모니터링
5. 내부 데이터 보호를 위해 업무망 망분리 수행
6. OS 및 소프트웨어 보안 업데이트를 항상 최신형상으로 유지