ASEC 分析チームは最近、NSIS インストーラーを通じて多数の不正なファイルが配布されている状況を確認した。
NSIS は Nullsoft Scriptable Install System の略称であり、本来は特定プログラムのインストーラーを製作するための目的で使われるが、スクリプトベースで動作する方式であることから、見た目的にも NSIS インストーラーの形態がほぼ同じであることから、マルウェアの製作に多く使われてきた。
NSIS インストーラー形式のマルウェアは以前から多く利用されてきた方式であり、この記事で取り上げるマルウェアは多数の不正なファイルが一つのインストーラーに含まれている形で、一つのファイルを実行するだけで様々なマルウェアが実行されてしまう。

この NSIS インストーラーの中身を見てみると、以下のように setup_installer.exe ファイルと NSI スクリプトが存在する。

NSI スクリプトのほうは単純に setup_installer.exe ファイルを実行するルーティンが存在するだけで、難読化や時間遅延のようなアンチ Sandbox 手法は含まれない。

setup_installer.exe ファイルは 7Zip SFX(Self-extracting archive)で構成されており、7Zip SFX は内部の圧縮されたファイルを特定フォルダーに抽出したあと特定のプログラムを実行することができる。
この setup_installer.exe ファイルには以下のように15個の不正なファイルとライブラリファイル、setup_install.exe ファイルが存在し、実行すると %TEMP%(一時フォルダー)\7zS[ランダムな8文字] フォルダーに自動で圧縮が解凍され、完全に解凍されると setup_install.exe ファイルを実行する。

setup_install.exe ファイルが実行されると、PowerShell を利用して %TEMP% フォルダーに対して MSDefender による除外を設定し、不正なファイル15個を順次実行させていく。

これまでの流れをプロセスツリーで表すと、以下の通りとなる。

同時に配布されているマルウェアの場合、AgentTesla、RedLine、SmokeLoader のような情報流出型マルウェアだけでなく、BeamWinHTTP のようなダウンローダー、Stop ランサムウェア等、様々な種類のマルウェアをパッケージ形式で配布している。
これらの不正なファイルは通常インストールプログラムに偽装するケースが多いため、出どころが不明なファイルはダウンロードの際に注意しなければならず、特に違法ソフトウェアをインストールする際にこれらのマルウェアに感染するおそれがあるため、できる限り実行しないようにしなければならない。
また、使用しているアンチウイルスソフトのバージョンを常に最新にアップデートして管理する注意が必要とされるため、V3 製品の場合は解凍オプションを設定しておくと、このような形式のマルウェアをより効果的に検知できる。

AhnLab V3 では、このマルウェアに対して以下の通り検知している。
[ファイル検知]
Trojan/Win.Muldrop.R436343
Trojan/Win.AgentTesla.C5095736
Infostealer/Win.ColdStealer.C5082387
Infostealer/Win.RedLine.C4628732
Ransomware/Win.Stop.R484442
[IOC 情報]
1f63405b97e1472330b563644c3e863e
1940b45ad2b6368f3b2a8c53c6bde8c9
f01d8c7ecb9e450748ca65931d9dc7a7
74df6867e4cdecfcaa15349a63b648ac
e043798557dc106b7fdd4d0974768edc
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報