소프트웨어 취약점(Exploit)을 이용한 악성코드 유포가 활발하게 진행됨에 따라 등장한 Malwarebytes Anti-Exploit 제품이 오랜 베타(Beta) 테스트를 끝으로 유/무료 제품으로 Malwarebytes Anti-Exploit 1.03.1.1220 정식 버전을 출시하였다는 소식입니다.
Malwarebytes Anti-Exploit 보안 솔루션에 대한 소개는 작년에 블로그를 통해 자세하게 소개한 적이 있으므로 참고하시기 바랍니다.
업체에서 제공한 정보를 확인해보면 개인 사용자를 위한 Malwarebytes Anti-Exploit Free 버전과 기업용 Malwarebytes Anti-Exploit Premium 버전으로 제품 라인을 구분하고 있습니다.
- Malwarebytes Anti-Exploit Free 제품 : 웹 브라우저(Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera) 취약점 방어, Oracle Java 취약점 방어 가능
- Malwarebytes Anti-Exploit Premium 제품 : 무료 버전 기능 + PDF(Adobe Reader, Adobe Acrobat, Foxit Reader) 취약점 방어, MS Office(Microsoft Word, Excel, Powerpoint) 취약점 방어, 멀티미디어 플레이어(Microsoft Windows Media Player, VideoLAN VLC Player, QuickTime Player, Winamp Player) 취약점 방어
무/유료 제품의 구분을 통해 기업에서는 악성 문서 파일을 이용한 표적 공격까지 차단할 수 있도록 지원하고 있는 것이 특징이라고 할 수 있으며, 무료 제품에서는 일상적인 웹 브라우저를 이용한 변조된 웹 사이트 방문시 악성코드에 자동으로 감염되는 Drive-by Download 방식을 차단할 수 있습니다.
Malwarebytes Anti-Exploit Free 버전을 설치된 환경에서는 시스템 시작시 자동으로 실행되어 항상 시스템을 보호할 수 있도록 동작합니다.
제품의 보호(Shields) 메뉴를 확인해보면 무료 버전에서 보호되고 있는 응용 프로그램(Mozilla Firefox, Google Chrome, Internet Explorer, Opera, Java) 목록을 확인할 수 있으며, 하단의 응용 프로그램은 유료 제품에서만 차단이 가능합니다.
예를 들어 국내를 표적으로 한 취약점(Exploit) 방식의 악성코드 유포 웹 사이트에 접속할 경우 Oracle Java 프로그램을 통해 최종적으로 악성 파일이 다운로드하는 동작이 발생하는 것을 확인할 수 있습니다.
이 과정에서 Malwarebytes Anti-Exploit 보안 솔루션이 설치되어 있다면 "Exploit Attempt Blocked!" 메시지 창을 통해 취약점(Exploit)을 이용한 악성코드 실행을 차단하는 모습을 확인할 수 있습니다.
로그(Logs) 메뉴를 통해 차단 정보를 확인해보면 Java 취약점을 통해 rundll32.exe 악성 파일이 실행되는 동작을 차단하였음을 알 수 있습니다.
여기에서 주목할 점은 Malwarebytes Anti-Exploit 제품은 취약점(Exploit)을 통해 악성 파일이 자동으로 다운로드되는 동작까지는 허용하면 다운로드된 최종 파일이 실행되어 감염을 유발하는 시점에서 차단한다는 단점을 가지고 있습니다.
실제 다운로드된 파일을 찾아보면 "C:\Users\(사용자 계정)\AppData\Local\Temp\rundll32.exe" 파일<SHA-1 : 013d00beeafb26767d3de3fccbe692ae766ba7e1 - AhnLab V3 : Trojan/Win32.Agent (VT : 27/54)>로 생성되어 있는 것을 확인할 수 있으며, 해당 파일은 안티 바이러스(Anti-Virus)를 통한 진단/치료 또는 사용자가 직접 삭제해야 추가적인 부분이 필요합니다.
만약 Malwarebytes Anti-Exploit 보안 솔루션이 설치되어 있지 않으며, PC에 설치된 안티 바이러스(Anti-Virus) 보안 제품이 악성 파일을 진단하지 못할 경우에는 인터넷뱅킹을 표적으로 한 악성코드에 감염될 수 있으며, 추가적인 DDoS 공격 등의 사이버 공격에 악용될 수 있습니다.
비록 Malwarebytes Anti-Exploit 보안 솔루션의 최종 파일 처리에 대한 단점에도 불구하고 해외 유명 보안 블로그에서 2014년 4~5월경에 전 세계적으로 유명한 취약점을 이용한 사이버 범죄 도구(Exploit Kit)를 대상으로 한 테스트 결과는 매우 훌륭하다는 점은 분명합니다.
그러므로 다음과 같은 다음과 같은 PC 사용자는 Malwarebytes Anti-Exploit, 바이로봇 APT Shield 2.0, 알약 익스플로잇 쉴드 1.0 제품 중 하나를 선택하여 안티 바이러스(Anti-Virus) 제품과 함께 사용하시길 강력하게 권장합니다.(※ 개인적으로 "바이로봇 APT Shield 2.0" 제품을 추천합니다.)
- 다음(Daum), 네이버(Naver), 네이트(Nate), 줌(ZUM) 포털 사이트 접속시 금융감독원, yessign 금융결제원 전자인증센터 팝업창이 수시로 생성되는 사람
- PC 관리를 제대로 할 줄 몰라서 보안에 취약한 소프트웨어 버전을 장기간 사용하는 사람
- 수시로 웹하드에 접속하거나 광고 프로그램이 설치되어 광고창에 항상 노출되는 사람
- 자신도 모르게 악성코드에 감염되는 사람 등
마지막으로 취약점(Exploit) 차단 보안 솔루션 제품은 기본적으로 수시 업데이트없이 다양한 변종 악성코드를 차단할 수 있는 장점을 가지고 있으며, 국내에서 무료로 배포하는 바이로봇 APT Shield, 알약 익스플로잇 쉴드 1.0 제품은 Malwarebytes Anti-Exploit Free 무료 버전에 보다 더 많은 응용 프로그램을 보호할 수 있습니다.