新型勒索软件Magniber正瞄准韩国、亚太地区开展攻击

近期，有国外研究人员发现了一种新型的勒索软件，并将其命名为Magniber，值得注意的是，这款勒索软只针对韩国及亚太地区的用户开展攻击。该勒索软件是基于Magnitude exploit kit（简称Magnitude EK）开发套件进行开发，并且在之前有多款恶意软件基于这款开发套件进行开发，也正是因为这样，研究人员将其命名为Magniber, 取Magnitude exploit kit的”Magni“及Cerber的“ber”组合而成。

对于Magnitude EK, 这款恶意软件此前一直在亚太活动，火眼在其一篇文章中称，自2016年Magnitude EK的活动基本已经销声匿迹，但是其仍一直在特定地区活动频繁，特别是近期一直在频繁攻击APAC地区（亚太），下图是火眼的一张攻击分布图：

Magnitude EK攻击分布图

除此之外，前段时间其他机构的研究员也发现了Magniber类似的活动迹象。趋势科技指出，自十月15日以来，Magniber勒索软件，就一直在开展攻击活动。不过即便是这个恶意软件目前在这亚太地区活动频繁，但是暂时没有迹象表明其正在针对特定组织或机构开展攻击。

同时，有另外名来自火眼的研究员，Muhammad Umair，Zain Gardezi在一篇报告中介绍了该勒索软件的大致执行流程，勒索软件Magniber在执行时会通过调用GetSystemDefaultUILanguage函数来检查操作系统语言版本，如果发现系统语言版本不是韩语，则直接退出。如果系统语言版本为韩文，接着会将其使用RC4加密存储至代码资源区的核心代码解密至内存中执行，然后这段核心代码会采用AES 128对系统中的数据进行加密，同时，将加密后的文件的文件名加一个后缀“.ihsdj”,当它完成所有的操作之后，他会将自己从磁盘中删除，这种做法和其他勒索软件并无区别。另外，这款恶意软件还会做虚拟机检测，如果发现自己位于虚拟机中，则会中断执行。执行流程如图所示：

Magniber执行流程图

同时趋势科技还指出，该勒索软件主要使用微软去年9月修补的一个IE内存破坏漏洞（CVE-2016-0189）进行扩散。攻击者通过发送邮件的方式在用户机器上触发该漏洞，那些运行老旧版本的机器，未打补丁的机器，极易中招。

目前该勒索软件主要针对韩国及部分亚太地区，国内暂时为发现活动迹象，但是本着未雨绸缪的心态，当务之急还是应该尽快将自己的电脑的补丁打全，同时来历不明的邮件不要随意点开。安全小子团队后续也会对此恶意软件展开追踪及分析。

参考文章：

[1] https://threatpost.com/new-magniber-ransomware-targets-south-korea-asia-pacific/128567/

[2] https://www.fireeye.com/blog/threat-research/2017/10/magniber-ransomware-infects-only-the-right-people.html

欢迎关注安全小子，安全路上你我同行