URL Disabler 유틸을 이용한 Magniber 랜섬웨어 자동 다운로드 대응 방법
국내에서 가장 큰 피해를 유발하고 있는 Magniber 랜섬웨어(Ransomware)는 Chrome, Microsoft Edge 웹 브라우저 사용자를 대상으로 한 감염 방식을 웹 사이트 접속 시 랜섬웨어 자동 다운로드를 이용하여 사용자가 다운로드된 파일을 직접 실행하는 방식으로 현재까지 기존의 Internet Explorer 웹 브라우저 취약점(Exploit) 방식보다 더 효과적으로 감염에 성공하고 있는 것으로 보입니다.
▷ 긴급 업데이트(Critical Update) 파일로 위장한 Magniber 랜섬웨어 파일(.msi) 주의 (2022.3.5)
▷ Installer 앱 제거 시 Magniber 랜섬웨어의 재실행 방식 (2022.4.24)
이런 공격 방식은 최신 보안 업데이트를 하였다고 해결되는 문제가 아니라 사용자가 다운로드 폴더에 저장된 랜섬웨어 악성 파일(.msi)을 실행하지 않도록 해야하는데 쉽지 않은 문제로 보입니다.
이 글에서는 웹 브라우저 사용자들이 파일 다운로드는 항상 이루어지지 않는다는 점에서 웹 브라우저의 다운로드 기능을 사용하지 않도록 손쉽게 이용할 수 있는 방법을 통해 Magniber 랜섬웨어에 의한 파일 자동 다운로드 방식을 차단하는 방법을 알아보도록 하겠습니다.
URL Disabler 유틸 프로그램은 설치형(Installer) 방식이 아닌 포터블(Portable) 형태로 배포되고 있으며, 특정 URL 주소에 대한 접속 차단 기능 외에 웹 브라우저의 다운로드 기능의 사용 여부를 변경할 수 있습니다.
URL Disabler 유틸 프로그램 다운로드 후 압축 파일(UrlDisabler.zip)을 임의의 폴더에 해제한 후 UrlDisabler_x64.exe 파일(x64 운영 체제 기준)을 실행합니다.
■ Chrome 웹 브라우저 다운로드 사용 안 함
예를 들어 Chrome 웹 브라우저의 다운로드(chrome://settings/downloads) 기능은 웹 사이트에서 파일 다운로드를 시도할 경우 지정한 다운로드 폴더에 파일을 다운로드하며, 만약 "다운로드 전에 각 파일의 저장 위치 확인" 설정을 활성화할 경우 다음과 같이 다운로드 절차가 진행됩니다.
사용자가 웹 사이트 접속 과정에서 Magniber 랜섬웨어 악성 파일(System.Upgrade.Win10.0-KB14524960.msi)이 자동 다운로드되어 저장 위치만 지정할 수 있습니다.
이 과정에서 사용자는 파일명이 시스템 업데이트 패치 파일로 착각하여 다운로드를 진행한 후 직접 실행하여 감염될 수 있습니다.
URL Disabler 프로그램을 실행한 후 "옵션 - Chrome 다운로드 사용 안 함" 항목을 체크하면 Chrome 웹 브라우저의 다운로드 기능 자체를 사용하지 못하도록 설정을 변경할 수 있습니다.
URL Disabler 옵션 설정을 변경한 후에는 "파일 - 변경 적용" 메뉴를 클릭하여 실제 시스템에 적용되도록 한 후 URL Disabler 프로그램은 종료하여도 문제가 없습니다.
이제 다시 한 번 Chrome 웹 브라우저를 이용하여 사이트 접속 중 Magniber 랜섬웨어(System.Upgrade.Win10.0-KB64908661.msi)가 다운로드를 시도하도록 해보았습니다.
만약 사용자가 자동 다운로드 시도를 하는 Magniber 랜섬웨어 악성 파일을 저장하도록 시도하여도 실제로는 차단이 이루어져서 다운로드가 실패하는 것을 확인할 수 있습니다.
Chrome 웹 브라우저의 다운로드 기능을 사용하지 않도록 한 경우 정상 다운로드된 System.Upgrade.Win10.0-KB14524960.msi 악성 파일과는 다르게 URL Disabler 프로그램을 통해 Chrome 다운로드를 사용하지 않도록 한 경우에는 "조직에서 관리하는 브라우저입니다." 메시지를 통해 Magniber 랜섬웨어 악성 파일이 다운로드되지 않은 것을 확인할 수 있습니다.
앞서 언급한 것처럼 웹 브라우저 사용 과정에서 파일 다운로드 행위는 사용자의 필요에 따라서만 이루어지기 때문에 만약 웹 브라우저 다운로드 기능을 사용하지 못하게 설정한 상태로 사용하다가 다운로드가 필요할 경우에만 일시적으로 설정을 변경하는 방식으로 사용한다면 Magniber 랜섬웨어의 자동 다운로드 유포 방식으로부터 시스템을 보호할 수 있을 것입니다.
■ URL Disabler : URL 차단 기능
URL Disabler 프로그램은 기본적으로 지정한 URL 주소에 대하여 접속 시 차단 기능을 제공하며 화이트리스트 기능을 통해 지정한 URL 주소 외에는 모든 사이트에 대한 접속 차단 기능도 제공하고 있습니다.
특히 호스트 파일(Hosts) 수정을 통한 접속 제한 방식이 아니므로 편하게 사용하실 수 있으며 설정이 적용된 후에는 URL Disabler 프로그램은 종료한 상태에서도 해당 기능이 정상 동작하게 됩니다.
한국어를 지원하고 있으며 사용이 매우 편리하므로 각 기능에 대한 설정은 손쉽게 익힐 수 있을 것입니다.
▷ <바이러스 제로 보안 카페> 악성 행위에 자주 사용되는 브라우저 도메인 차단 규칙 (크롬, 엣지, 파이어폭스) (2022.5.22)
참고로 바이러스 제로 보안 카페에서는 Malware Zero 검사툴 제작자분이 Magniber 랜섬웨어가 사용하는 다운로드 URL 주소 기반으로 차단을 지원하는 레지스트리 파일(.reg)을 제공하고 있으므로 선택적으로 사용해 보시기 바랍니다.