하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

윈도우 인스톨러 형식 악성코드 증가에 따른 감염 주의
등록일 :
2018.03.29

□ 개요

최근 윈도우 인스톨러형식을 활용하여 악성코드를 유포하는 사례가 늘고 있어 사용자들의 각별한 주의가 요구된다.

 

□ 내용

윈도우 인스톨러(Windows Installer)’는 마이크로소프트 윈도우 운영체제에서 사용하는 표준 설치 패키지로 ‘MSI(Microsoft Installer)’를 확장자로 사용한다. 파일 내부에 데이터베이스 테이블로 구성된 설치 지침들과 실행할 응용 프로그램 파일을 포함하고 있다. 공격자들은 이를 이용하여 윈도우 인스톨러에 악성코드를 포함시키는 방법으로 기존의 보안 제품들을 우회하여 실행하는데 활용하고 있다.


  

[그림 1] 윈도우 인스톨러 형식 파일 내부에 포함되어 있는 악성코드

 

주로 이메일에 윈도우 인스톨러형식인 ‘MSI’ 패키지 파일을 첨부하거나 또는 문서형 취약점을 이용하여 ‘MSI’ 패키지 파일을 다운로드하여 실행시키는 방법으로 악성코드를 감염시키고 있다. 현재 원격제어 악성코드와 랜섬웨어 악성코드 등이 해당 방법으로 유포되고 있다. ‘MSI’ 패키지 파일로 악성코드를 실행시키는 방법은 흔치 않아 기존 보안 제품들이 탐지하기 어려운 경우가 많으며, ‘EXE’ 등의 실행 파일들 보다 사용자들의 신뢰도가 높기 때문에 쉽게 감염될 수 있어 주의가 필요하다.

 

  

[그림 2] 윈도우 인스톨러 형식으로 유포된 악성코드 현황

 

 바이로봇 업데이트 내역

대표진단명 MSI.S.Agent 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top