Home > 전체기사

NSIS 설치 파일 받으려다... 악성코드가 우르르 쏟아진다

  |  입력 : 2022-05-29 23:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
다수의 악성 파일이 하나의 설치파일에 포함되어 있는 형태...실행하면 다양한 악성코드 실행

[보안뉴스 원병철 기자] 최근 들어 NSIS 설치 파일을 통해 다수의 악성 파일들을 배포하고 있는 정황을 확인돼 사용자들의 주의가 요구된다고 안랩 ASEC 분석팀이 밝혔다. NSIS는 ‘Nullsoft Scriptable Install System’의 약자로, 본래는 특정 프로그램의 설치 파일을 제작하기 위한 목적으로 사용되나, 스크립트 기반으로 동작하는 방식이다 보니 외형적으로 NSIS 설치 파일들의 형태가 거의 동일해 악성코드 제작에 많이 사용되기도 한다.

[이미지=utoimage]


NSIS 설치파일 형태의 악성코드는 예전부터 많이 이용해왔던 방식이며, 이번에 발견된 악성코드는 다수의 악성 파일이 하나의 설치파일에 포함되어 있는 형태로, 파일 하나를 실행하면 다양한 악성코드가 실행된다.

▲악성코드 아이콘[자료=안랩 ASEC 분석팀]


해당 NSIS 설치 파일의 내부를 살펴보면 ‘setup_installer.exe’ 파일과 NSI 스크립트가 존재한다.

▲악성코드 내부에 존재하는 파일[자료=안랩 ASEC 분석팀]


NSI 스크립트의 경우 단순히 setup_installer.exe 파일을 실행하는 루틴이 존재하며, 난독화 기법이나 시간 지연과 같은 안티 Sandbox 기법은 존재하지 않는다.

▲NSI 스크립트 파일 중 일부[자료=안랩 ASEC 분석팀]


setup_installer.exe 파일은 7Zip SFX(Self-extracting archive)로 이루어져 있으며, 7Zip SFX는 내부 압축된 파일을 특정 폴더에 추출 후 특정 프로그램을 실행할 수 있다. 해당 setup_installer.exe 파일에는 아래와 같이 15개의 악성 파일들과 라이브러리 파일, 그리고 setup_install.exe 파일이 존재하며, 실행 시 %TEMP%(임시 폴더)\7zS[랜덤8글자] 폴더에 자동으로 압축이 풀리며, 압축이 완전히 풀리면 setup_install.exe 파일을 실행한다.

▲setup_installer.exe 압축 해제[자료=안랩 ASEC 분석팀]


setup_install.exe 파일이 실행되면 파워쉘을 이용해 %TEMP% 폴더에 대하여 MSDefender 예외를 하도록 설정하고, 악성 파일 15개를 순차적으로 실행시킨다.

▲Powershell을 이용한 MSDefender 예외[자료=안랩 ASEC 분석팀]


지금까지의 과정을 프로세스 트리로 나타내면 아래와 같다.

▲프로세스 트리[자료=안랩 ASEC 분석팀]


같이 유포되고 있는 악성코드의 경우 AgentTesla, RedLine, SmokeLoader 같은 정보유출형 악성코드 뿐만 아니라, BeamWinHTTP와 같은 다운로더, Stop 랜섬웨어 등 다양한 종류의 악성코드들을 패키지 형태로 배포하고 있다.

안랩 ASEC 분석팀은 “이러한 악성 파일들은 보통 설치 프로그램으로 위장하는 경우가 많기 때문에, 출처가 불분명한 파일은 다운로드 시 주의해야 하며, 특히 불법 소프트웨어를 설치할 때 이러한 악성코드에 감염될 수 있으니 되도록 실행을 자제해야 한다”면서, “또한, 사용하고 있는 백신을 항상 최신 버전으로 업데이트해 관리해야 한다. V3 제품의 경우 압축 해제 옵션을 설정하게 되면 이러한 형태의 악성코드를 더 효과적으로 진단할 수 있다”고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)