본문 바로가기

벌새::Security

알약(ALYac) + Malwarebytes Anti-Exploit 프로그램을 이용한 Exploit 공격 대응법 (2013.9.1)

반응형

국내 무료 백신으로 유명한 알약(ALYac) 보안 제품 사용자들 중에서 자신도 모르게 감염되는 온라인 게임핵(OnlineGameHack), 인터넷뱅킹 악성코드, 백도어(Backdoor) 등으로 인해 알약(ALYac) 보안 제품이 종료 또는 자동 삭제되어 사람을 미치게 하는 경우가 있습니다.

 

이런 악성코드 감염의 주요 경로와 예방법에 대해 장문의 시리즈를 통해 소개한 적이 있습니다.

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (1) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (2) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (3) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4) (2013.3.17)

 

그 중에서도 국내 인터넷 사용자들을 대상으로 한 취약점(Exploit) 공격 방식은 공다팩(GongDa Pack)과 같은 사이버 범죄툴을 통해 사용자가 인터넷 웹 사이트에 접속만 하여도 자동 감염이 이루어지도록 할 수 있습니다.

 

예를 들어 많은 인터넷 사용자들이 방문하는 토렌트, 웹하드, 언론사, 인터넷 커뮤니티 등의 웹 사이트를 방문할 경우, 보안 패치가 이루어지지 않은 시스템 환경에서는 보안 취약점을 이용하여 자동으로 악성 파일이 다운로드 및 실행되어 사용자 몰래 정보 유출, 보안 제품 기능 방해, 시스템 손상 등과 같은 악의적 기능을 수행할 수 있습니다.

 

특히 국내 사용자 수가 많은 알약(ALYac) 보안 제품 사용자들은 공격자들의 표적이 되므로 "Malwarebytes Anti-Exploit" 프로그램을 통해 웹 사이트 방문을 통해 시스템 감염이 유발되는 취약점(Exploit) 공격으로부터 시스템을 보호하는 방법에 소개해 드리겠습니다.

 

단, 주의할 점은 알약(ALYac) 보안 제품 사용자만 사용하시기 바라며 AhnLab V3 Lite 3.1 무료 백신 사용자는 MDP 진단 기능을 통해 시스템을 보호할 수 있으므로 Malwarebytes Anti-Exploit 프로그램을 함께 사용하지 마시기 바랍니다.

 

우선 AhnLab V3 365 클리닉 3.0 버전을 통해 대응이 드라이브 바이 다운로드(Drive-By Download) 공격이 이루어지는 장면을 통해 Malwarebytes Anti-Exploit 프로그램의 기능에 대해 간단하게 소개해 드리겠습니다.

 

1. AhnLab V3 365 클리닉 3.0 제품의 Exploit 공격 대응 모습

 

AhnLab V3 365 클리닉 3.0 버전 사용자 PC에 Oracle Java, Adobe Flash Player, MS Windows 등과 같은 각종 소프트웨어에 대한 최신 업데이트를 통한 보안 패치가 이루어지지 않은 환경에서 인터넷을 이용하여 웹 사이트를 방문하던 중 Malware/MDP.JavaExploit.M106 진단명과 같은 "악성코드 차단" 메시지를 볼 수 있습니다.

진단창 내용을 확인해보면 Oracle Java 취약점을 이용하여 PE 파일이 다운로드되는 동작에 대해 차단을 한다는 것을 확인할 수 있습니다.

해당 진단 부분에 대하여 Active Defense 메뉴에서 제공하는 "프로그램 주요 행위"를 살펴보면 사용자가 Internet Explorer 웹 브라우저를 통해 특정 웹 사이트를 방문한 후 Java 취약점을 이용한 스크립트 실행을 통해 최종적으로 txt.exe 악성 파일<MD5 : 485a1bcf47b7d393c297287558127f4a - AhnLab V3 : Trojan/Win32.OnlineGameHack (VT : 15/46)>을 자동으로 다운로드 및 실행되었음을 확인할 수 있습니다.

 

위와 같이 AhnLab V3 Lite 3.1 또는 AhnLab V3 365 클리닉 3.0 버전에서는 드라이브 바이 다운로드(Drive-By Download)와 같은 응용 프로그램의 보안 취약점을 이용하여 시스템 감염을 유발하는 행위 자체를 MDP(Multi-Dimensional Protection) 진단을 이용하여 사전에 차단할 수 있는 기술을 최근에 적용하였습니다.(※ AhnLab V3 Lite 1.3 버전에서는 미적용)

 

이러한 MDP 기술이 갖는 장점은 공격자는 최종 파일을 사용자 몰래 설치하기 위하여 다양한 보안 취약점과 난독화된 스크립트를 이용하여 진단을 우회 시도하지만, MDP 진단 기술은 다양한 변종 유포에 활용되는 취약점(Exploit) 공격 방식을 사전에 차단하여 실제 최종 파일을 진단하지 못하여도 다운로드 자체를 차단할 수 있습니다.

 

2. 알약(ALYac) 무료 백신의 Exploit 공격에 대한 숨기고 싶은 현실

하지만 안타깝게도 알약(ALYac) 무료 백신은 현재 BitDefender 해외 엔진에 의존한 휴리스틱 진단에 상당히 의존적이며, 보안 취약점을 이용한 사전 대응에 상대적으로 많은 약점을 가지고 있습니다.

실제 AhnLab V3 365 클리닉 3.0 버전을 이용한 감염 테스트에 사용된 웹 사이트를 알약(ALYac) 보안 제품이 설치된 환경에서 접속하였을 당시 자동으로 시스템 감염이 이루어지는 것을 확인하였습니다.(※ 알약(ALYac)은 더 보여주고 싶어도 없습니다. 슬퍼3)

 

3. Malwarebytes Anti-Exploit 제품 소개

 

그렇다면 알약(ALYac) 보안 제품에서 위와 같은 Exploit 공격에 대한 사전 보호 기술을 적용할 때까지 기다릴 수만은 없기에 현재 개인 사용자에게 무료로 제공하는 "Malwarebytes Anti-Exploit" 프로그램을 통해 취약점(Exploit) 공격에 대해 대응할 수 있는 방법을 소개해 드리겠습니다.

 

Malwarebytes Anti-Exploit 프로그램은 베타(Beta) 테스트 버전만 공개된 상태이며, 해당 프로그램을 통해 제로데이(0-Day) 취약점을 비롯한 다양한 응용 프로그램의 보안 취약점을 이용한 악성코드 유포로부터 시스템을 보호할 수 있습니다.

 

 

Malwarebytes Anti-Exploit 프로그램의 설치 방법은 안내에 따라 설치를 진행하시면 되므로 생략하며, 설치가 완료된 프로그램은 Windows 시작시 자동 실행되어 시스템 트레이 알림 아이콘에 표시되어 시스템을 보호하도록 되어 있습니다.(※ 특별히 알약(ALYac) 보안 제품과의 충돌은 발생하지 않습니다.)

 

만약 Malwarebytes Anti-Exploit 프로그램의 기능을 일시적으로 중지하기 원하는 경우에는 "Stop Protection" 메뉴를 선택하시면 됩니다.

메인 화면을 살펴보면 현재 동작 중인 응용 프로그램 수(Shielded applications), 차단된 Exploit 수(Blocked exploit attempts), 격리된 파일 수(Files quarantined), 버전(Versions) 정보가 표시되어 있습니다.

[보호 가능한 소프트웨어 종류]

 

■ 웹 브라우저 : Internet Explorer, Mozilla Firefox, Google Chrome, Opera

■ 웹 브라우저용 플러그인 : Oracle Java, Adobe Flash Player, Adobe Shockwave, Adobe PDF

■ 응용 프로그램 : MS Word, MS Excel, MS PowerPoint, Adobe Acrobat & Reader, Foxit Reader

■ 미디어 플레이어 : Windows Media Player, VLC Player, Apple QuickTime, Winamp

 

※ AhnLab V3 보안 제품에서는 한컴오피스 제품에 대한 보호 기능이 포함되어 있습니다.

 

"보호(Shields)" 메뉴에서는 Malwarebytes Anti-Exploit 프로그램을 통해 취약점(Exploit)을 이용한 공격으로부터 보호가 가능한 응용 프로그램의 목록을 제시하고 있습니다.

 

참고로 국내에서는 웹 브라우저 및 플러그인의 보안 취약점을 이용한 드라이브 바이 다운로드(Drive-By Download) 공격이 활발하게 이루어지고 있습니다.

"로그(Logs)" 메뉴에서는 Malwarebytes Anti-Exploit 제품의 동작과 관련된 기록이 시간순으로 자동 기록됩니다.

"예외(Exclusions)" 메뉴에서는 Malwarebytes Anti-Exploit 프로그램에서 차단한 파일 중 오진인 경우에는 예외 처리를 할 수 있습니다.

 

예외 처리는 로그(Logs) 목록에 기록된 파일 중 하나를 선택하여 "Exclude" 버튼을 선택하시면 됩니다.

 

4. Malwarebytes Anti-Exploit 제품을 이용한 Exploit 공격 대응 사례

 

알약(ALYac) 보안 제품을 사용하는 사용자가 추가적으로 Malwarebytes Anti-Exploit 프로그램을 설치한 환경에서 Internet Explorer 웹 브라우저를 이용하여 웹 사이트를 방문하는 과정에서 Oracle Java 보안 취약점을 이용한 Exploit 공격이 시도되는 테스트를 진행하였습니다.(※ 테스트에서는 유포가 시작된지 4시간 가량이 경과된 사례입니다.)

당연히 알약(ALYac) 보안 제품에서는 Exploit 공격에 사용된 스크립트 및 최종 파일에 대해 진단이 이루어지지 않고 있으며, Malwarebytes Anti-Exploit 제품에서 "Exploit Attempt Blocked!" 경고창을 통해 드라이브 바이 다운로드(Drive-By Download)를 차단하였다는 것을 확인할 수 있습니다.

"일반(General)" 메뉴에서 확인해보면 보호된 응용 프로그램(Shielded applications)은 3개로 표시되어 있는데, 이는 Internet Explorer 웹 브라우저와 함께 동작하는 Adobe Flash Player, Oracle Java 플러그인을 합친 수입니다. 또한 사용자가 접속한 웹 사이트에서 Exploit 공격이 1회 시도되었음을 확인할 수 있습니다.

"로그(Logs)" 메뉴를 확인해보면 사용자가 Internet Explorer 웹 브라우저를 실행할 때 "Internet Explorer is now protected""Java is now protected" 상태가 되며, 웹 사이트 방문으로 Java 취약점을 통해 자동 다운로드된 파일이 임시 폴더(C:\Users\(사용자 계정)\AppData\Local\Temp)에 0.1479484790093003.exe 파일을 생성하는 동작을 차단하였다는 내용을 확인할 수 있습니다.(※ 사용자는 로그(Logs) 정보를 통해 차단된 파일의 경로명을 확인하여 다운로드된 파일을 찾아 수동으로 삭제하시면 됩니다.)

 

만약 Malwarebytes Anti-Exploit 프로그램 사용 중에 위와 같이 차단될 경우 일부 오진으로 인한 차단이 발생할 수 있으므로 이런 경우에는 차단된 파일 항목을 선택하여 "Exclude" 버튼을 클릭하면 예외 처리가 이루어집니다.

 

위와 같이 알약(ALYac) 보안 제품 사용자는 "Malwarebytes Anti-Exploit" 프로그램을 함께 설치하여 실시간 보호를 통해 Oracle Java, Adobe Flash Player, Adobe PDF, 각종 웹 브라우저 등의 취약점을 이용한 Exploit 공격을 통해 드라이브 바이 다운로드(Drive-By Download) 방식으로 사용자 몰래 자동 다운로드되어 시스템 감염이 발생하는 공격으로부터 상당 부분 보호할 수 있으므로 강력히 추천해 드립니다.(Malwarebytes Anti-Exploit 제품은 베타(Beta) 버전이므로 수시로 업데이트가 있을 수 있으므로, 제작사 홈 페이지를 통해 항상 최신 버전을 확인하시기 바랍니다.)

 

물론 가장 최선의 방법은 각종 공격에 악용되는 취약한 프로그램에 대한 최신 버전을 사용하여 Exploit 공격으로부터 시스템을 보호할 수 있지만, 여전히 업데이트를 제대로 하지 않는 상당수의 사용자들은 사이버 범죄자들의 표적이 되어 오늘도 전용 백신을 찾아 다니는게 현실입니다.

엉엉

728x90
반응형