[주의] NSIS 형태로 유포 중인 이력서 위장 Makop 랜섬웨어

ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 다른 외형으로 유포되는 것을 확인했다. 대다수의 악성코드는 내부 바이너리를 숨기고 AV의 진단을 우회하기 위해 패킹(Packing) 기법을 활용한다. 내부 악성코드 바이너리는 동일하지만 겉 포장만을 다르게 하여 마치 다른 파일인 것처럼 제작하는 것이다. 

 

최근 활발히 유포 중인 이력서를 위장한 악성코드 또한 마찬가지이다. 기존에는 V3 진단명 "MalPE"유형의 패커(Packer)를 사용하였지만 최근 발견된 샘플에서는 NSIS를 사용한다. 아이콘 및 파일명은 기존과 동일하다.

 

• 이력서(경력사항은 자세히 기재하였습니다 확인바랍니다).exe
• 포트폴리오(경력사항은 자세히 기재하였습니다 확인바랍니다).exe

[그림1] 아이콘 및 파일명

[주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포

NSIS(Nullsoft Scriptable Install System)는 본래 프로그램의 설치파일을 제작하기 위한 목적으로 사용되는 소프트웨어이나, 악성코드 제작자가 이를 악용하여 악성코드를 패킹하는 용도로 사용하기도 한다.

[그림1] NSIS 기본 아이콘

 

NSIS 설치파일 형태의 악성코드에서 사용중인 탐지 우회기법

해당 악성코드 내부에는 플러그인 폴더와 암호화된 악성 바이너리, nsi스크립트가 존재한다.

[그림2] 악성코드 내부 구조

nsi스크립트는 악성 바이너리를 디코딩 후 자신에게 인젝션하여 실행하도록 구성되어 있으며 다음과 같이 난독화되어 있다.

[그림3] 악성 NSI 스크립트

본 샘플에서 최종적으로 실행되는 바이너리는 Makop랜섬웨어로, 기존 MalPe 유형으로 활발히 유포된 바 있다.

[주의] 이력서로 위장한 makop 랜섬웨어 (04.13)

감염 제외 파일 및 감염 결과는 다음과 같다.

makop, CARLOS, shootlock, shootlock2, 1recoesufV8Sv6g, 1recocr8M4YJskJ7, btc, KJHslgjkjdfg, origami, exe, dll

[표1] 암호화 제외 확장자

 

boot.ini, bootfont.bin, ntldr, ntdetect.com, io.sys, readme-warning.txt, desktop.ini

[표2] 암호화 제외 파일명

 

[그림4] 암호화된 파일

[그림5] 랜섬 노트

기존의 사례를 볼 때 이력서를 위장한 악성코드 제작자는 Makop랜섬웨어뿐만 아니라 Nemty랜섬웨어, Vidar 인포스틸러 등 다양한 악성코드를 동일 외형으로 유포한 바 있다. 때문에 이번 NSIS 외형의 악성코드 또한 추후 다른 여러 악성코드를 유포할 가능성이 높기 때문에 사용자의 주의가 필요하다. 출처가 불분명한 메일의 첨부파일은 주의해야 하며, 특히 한글, PDF, MS오피스 등의 문서파일 아이콘을 사용한 실행파일(.exe, .scr 등)은 절대 실행해서는 안 된다.

 

현재 V3에서는 본문의 악성코드를 다음과 같이 진단 중이다.

 

[파일 진단]

• Trojan/Win32.Ransom.C4119096
• Trojan/Win32.RansomCrypt.C4120931

 

[행위 진단]

• Malware/MDP.SystemManipulation.M2255