ASEC 분석팀은 최근들어 NSIS 설치 파일을 통하여 다수의 악성 파일들을 배포하고 있는 정황을 확인하였다.
NSIS는 Nullsoft Scriptable Install System의 약자로 본래는 특정 프로그램의 설치 파일을 제작하기 위한 목적으로 사용되나, 스크립트 기반으로 동작하는 방식이다 보니 외형적으로 NSIS 설치 파일들의 형태가 거의 동일하여 악성코드 제작에 많이 사용되기도 한다.
NSIS 설치파일 형태의 악성코드는 예전부터 많이 이용해왔던 방식이며, 이 글에서 다루는 악성코드는 다수의 악성 파일이 하나의 설치파일에 포함되어 있는 형태로, 파일 하나를 실행하면 다양한 악성코드가 실행된다.
해당 NSIS 설치 파일의 내부를 살펴보면 아래와 같이 setup_installer.exe 파일과 NSI 스크립트가 존재한다.
NSI 스크립트의 경우 단순히 setup_installer.exe 파일을 실행하는 루틴이 존재하며, 난독화 기법이나 시간 지연과 같은 안티 Sandbox 기법은 존재하지 않는다.
setup_installer.exe 파일은 7Zip SFX(Self-extracting archive)로 이루어져 있으며, 7Zip SFX는 내부 압축된 파일을 특정 폴더에 추출 후 특정 프로그램을 실행할 수 있다.
해당 setup_installer.exe 파일에는 아래와 같이 15개의 악성 파일들과 라이브러리 파일, 그리고 setup_install.exe 파일이 존재하며, 실행 시 %TEMP%(임시 폴더)\7zS[랜덤8글자] 폴더에 자동으로 압축이 풀리며, 압축이 완전히 풀리면 setup_install.exe 파일을 실행한다.
setup_install.exe 파일이 실행되면 파워쉘을 이용하여 %TEMP% 폴더에 대하여 MSDefender 예외를 하도록 설정하고, 악성 파일 15개를 순차적으로 실행시킨다.
지금까지의 과정을 프로세스 트리로 나타내면 아래와 같다.
같이 유포되고 있는 악성코드의 경우 AgentTesla, RedLine, SmokeLoader 같은 정보유출형 악성코드 뿐만 아니라, BeamWinHTTP와 같은 다운로더, Stop 랜섬웨어 등 다양한 종류의 악성코드들을 패키지 형태로 배포하고 있다.
이러한 악성 파일들은 보통 설치 프로그램으로 위장하는 경우가 많기 때문에, 출처가 불분명한 파일은 다운로드 시 주의해야 하며, 특히 불법 소프트웨어를 설치할 때 이러한 악성코드에 감염될 수 있으니 되도록 실행을 자제해야 한다.
또한, 사용하고 있는 백신을 항상 최신 버전으로 업데이트하여 관리하는 주의가 필요하며, V3 제품의 경우 압축 해제 옵션을 설정하게 되면 이러한 형태의 악성코드를 더 효과적으로 진단할 수 있다.
AhnLab V3 에서는 해당 악성코드에 대해 아래와 같이 진단하고 있다.
[파일 진단]
Trojan/Win.Muldrop.R436343
Trojan/Win.AgentTesla.C5095736
Infostealer/Win.ColdStealer.C5082387
Infostealer/Win.RedLine.C4628732
Ransomware/Win.Stop.R484442
[IOC 정보]
1f63405b97e1472330b563644c3e863e
1940b45ad2b6368f3b2a8c53c6bde8c9
f01d8c7ecb9e450748ca65931d9dc7a7
74df6867e4cdecfcaa15349a63b648ac
e043798557dc106b7fdd4d0974768edc
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보