소프트웨어 취약점(Exploit)을 이용한 악성코드 유포가 활발하게 진행됨에 따라 등장한 Malwarebytes Anti-Exploit 제품이 오랜 베타(Beta) 테스트를 끝으로 유/무료 제품으로 Malwarebytes Anti-Exploit 1.03.1.1220 정식 버전을 출시하였다는 소식입니다.

Malwarebytes Anti-Exploit 보안 솔루션에 대한 소개는 작년에 블로그를 통해 자세하게 소개한 적이 있으므로 참고하시기 바랍니다.

업체에서 제공한 정보를 확인해보면 개인 사용자를 위한 Malwarebytes Anti-Exploit Free 버전과 기업용 Malwarebytes Anti-Exploit Premium 버전으로 제품 라인을 구분하고 있습니다.

  • Malwarebytes Anti-Exploit Free 제품 : 웹 브라우저(Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera) 취약점 방어, Oracle Java 취약점 방어 가능
  • Malwarebytes Anti-Exploit Premium 제품 : 무료 버전 기능 + PDF(Adobe Reader, Adobe Acrobat, Foxit Reader) 취약점 방어, MS Office(Microsoft Word, Excel, Powerpoint) 취약점 방어, 멀티미디어 플레이어(Microsoft Windows Media Player, VideoLAN VLC Player, QuickTime Player, Winamp Player) 취약점 방어

무/유료 제품의 구분을 통해 기업에서는 악성 문서 파일을 이용한 표적 공격까지 차단할 수 있도록 지원하고 있는 것이 특징이라고 할 수 있으며, 무료 제품에서는 일상적인 웹 브라우저를 이용한 변조된 웹 사이트 방문시 악성코드에 자동으로 감염되는 Drive-by Download 방식을 차단할 수 있습니다.

Malwarebytes Anti-Exploit Free 버전을 설치된 환경에서는 시스템 시작시 자동으로 실행되어 항상 시스템을 보호할 수 있도록 동작합니다.

제품의 보호(Shields) 메뉴를 확인해보면 무료 버전에서 보호되고 있는 응용 프로그램(Mozilla Firefox, Google Chrome, Internet Explorer, Opera, Java) 목록을 확인할 수 있으며, 하단의 응용 프로그램은 유료 제품에서만 차단이 가능합니다.

예를 들어 국내를 표적으로 한 취약점(Exploit) 방식의 악성코드 유포 웹 사이트에 접속할 경우 Oracle Java 프로그램을 통해 최종적으로 악성 파일이 다운로드하는 동작이 발생하는 것을 확인할 수 있습니다.

이 과정에서 Malwarebytes Anti-Exploit 보안 솔루션이 설치되어 있다면 "Exploit Attempt Blocked!" 메시지 창을 통해 취약점(Exploit)을 이용한 악성코드 실행을 차단하는 모습을 확인할 수 있습니다.

로그(Logs) 메뉴를 통해 차단 정보를 확인해보면 Java 취약점을 통해 rundll32.exe 악성 파일이 실행되는 동작을 차단하였음을 알 수 있습니다.

 

여기에서 주목할 점은 Malwarebytes Anti-Exploit 제품은 취약점(Exploit)을 통해 악성 파일이 자동으로 다운로드되는 동작까지는 허용하면 다운로드된 최종 파일이 실행되어 감염을 유발하는 시점에서 차단한다는 단점을 가지고 있습니다.

실제 다운로드된 파일을 찾아보면 "C:\Users\(사용자 계정)\AppData\Local\Temp\rundll32.exe" 파일<SHA-1 : 013d00beeafb26767d3de3fccbe692ae766ba7e1 - AhnLab V3 : Trojan/Win32.Agent (VT : 27/54)>로 생성되어 있는 것을 확인할 수 있으며, 해당 파일은 안티 바이러스(Anti-Virus)를 통한 진단/치료 또는 사용자가 직접 삭제해야 추가적인 부분이 필요합니다.

 

만약 Malwarebytes Anti-Exploit 보안 솔루션이 설치되어 있지 않으며, PC에 설치된 안티 바이러스(Anti-Virus) 보안 제품이 악성 파일을 진단하지 못할 경우에는 인터넷뱅킹을 표적으로 한 악성코드에 감염될 수 있으며, 추가적인 DDoS 공격 등의 사이버 공격에 악용될 수 있습니다.

비록 Malwarebytes Anti-Exploit 보안 솔루션의 최종 파일 처리에 대한 단점에도 불구하고 해외 유명 보안 블로그에서 2014년 4~5월경에 전 세계적으로 유명한 취약점을 이용한 사이버 범죄 도구(Exploit Kit)를 대상으로 한 테스트 결과는 매우 훌륭하다는 점은 분명합니다.

 

그러므로 다음과 같은 다음과 같은 PC 사용자는 Malwarebytes Anti-Exploit, 바이로봇 APT Shield 2.0, 알약 익스플로잇 쉴드 1.0 제품 중 하나를 선택하여 안티 바이러스(Anti-Virus) 제품과 함께 사용하시길 강력하게 권장합니다.(※ 개인적으로 "바이로봇 APT Shield 2.0" 제품을 추천합니다.)

  1. 다음(Daum), 네이버(Naver), 네이트(Nate), 줌(ZUM) 포털 사이트 접속시 금융감독원, yessign 금융결제원 전자인증센터 팝업창이 수시로 생성되는 사람
  2. PC 관리를 제대로 할 줄 몰라서 보안에 취약한 소프트웨어 버전을 장기간 사용하는 사람
  3. 수시로 웹하드에 접속하거나 광고 프로그램이 설치되어 광고창에 항상 노출되는 사람
  4. 자신도 모르게 악성코드에 감염되는 사람 등

마지막으로 취약점(Exploit) 차단 보안 솔루션 제품은 기본적으로 수시 업데이트없이 다양한 변종 악성코드를 차단할 수 있는 장점을 가지고 있으며, 국내에서 무료로 배포하는 바이로봇 APT Shield, 알약 익스플로잇 쉴드 1.0 제품은 Malwarebytes Anti-Exploit Free 무료 버전에 보다 더 많은 응용 프로그램을 보호할 수 있습니다.

 



신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..

티스토리 툴바