Команда аналитиков ASEC загрузила 25 октября сообщение, в котором проинформировала пользователей об изменениях, внесенных в программу Magniber ransomware. Magniber, который все еще активно распространяется, претерпел множество изменений, чтобы обойти обнаружение антивирусного ПО. Из этих изменений в данном блоге будет рассмотрен формат скрипта, обнаруженный с 8 по 29 сентября 2022 года, который обходит Mark of the Web (MOTW), функцию, предлагаемую компанией Microsoft, которая идентифицирует источник файлов.
Magniber Ransomware
Среди изменений в период с 8 по 29 сентября 2022 года оператор угрозы использовал скрипты в качестве метода распространения. Magniber загружался с помощью метода typosquatting, который использует опечатки, допущенные пользователем при доступе к доменам.
Загруженный файл идентифицируется как полученный из внешнего источника с помощью функции Windows Mark of the Web (MOTW). MOTW работает с файловой системой New Technology File System (NTFS). URL-адрес загрузки записывается в поток в Windows NTFS. Поток, в котором сохраняется URL-адрес, создается в пути к файлу в формате "Имя файла:Zone.Identifier:$DATA" и может быть легко просмотрен с помощью Блокнота. Когда загруженные файлы, идентифицированные MOTW, выполняются, отображается предупреждающее сообщение.
Чтобы обойти такие блокировки выполнения со стороны MOTW, Magniber использовал цифровую подпись в конце сценария в период с 8 по 29 сентября 2022 года. Цифровая подпись на скрипте гарантирует, что скрипт не был изменен, и позволяет идентифицировать автора скрипта. Согласно сообщению, опубликованному на сайте Bleeping Computer, цифровая подпись в конце сценария Magniber ransomware добавлена для обхода MOTW.
В настоящее время Magniber распространяется с расширением файла MSI, а не в формате скрипта. Однако бдительность пользователя все еще необходима, поскольку он часто меняет свою технику, чтобы обойти обнаружение. Кроме того, пользователи должны быть осторожны при выполнении файлов, загруженных с ненадежных веб-сайтов.
В настоящее время компания AhnLab реагирует на Magniber ransomware не только с помощью обнаружения файлов, но и с помощью различных методов обнаружения. Так, пользователям рекомендуется активировать опции Сканирование памяти процессов и Обнаружение вредоносных скриптов (AMSI) в [Предпочтения V3] - [Настройки сканирования ПК].
Magniber Ransomware IOCs
- Magniber Ransomware IOCs - Part 1
- Magniber Ransomware IOCs - Part 2
- Magniber Ransomware IOCs - Part 3
Indicators of Compromise
MD5
- 2da51943a0ea7699b01436eaa01f7a59
- b8e94ffbfc560d56e28c10073b911d50
- ba7a32f15227c5d30b648ba407e73c80