울지않는벌새 : Security, Movie & Society

업데이트 : Malwarebytes Anti-Exploit 0.9.4.1000 Beta

벌새::Software

웹 브라우저 또는 응용 프로그램의 취약점을 이용하여 악성코드 감염을 유발하는 Exploit 공격으로부터 시스템을 보호할 수 있는 "Malwarebytes Anti-Exploit 0.9.4.1000 Beta" 버전이 업데이트 되었습니다.

  알약(ALYac) + Malwarebytes Anti-Exploit 프로그램을 이용한 Exploit 공격 대응법 (2013.9.1)

 

Malwarebytes Anti-Exploit 프로그램을 국내 인터넷 사용자들이 어떻게 활용할 수 있는지에 대하여 알약(ALYac) 무료 백신 사용자를 예시로 소개하면서 반드시 함께 사용할 것을 강력하게 추천한 적이 있었습니다.

  1. New technique for detecting memory exploit payloads.
  2. New technique for blocking exploits at stage 1.
  3. New MBAE Exploit Test application to verify MBAE is operational.
  4. Fixed crash under IE10 when visiting Adobe's website.
  5. Fixed crash of Chrome and others when using Silverlight.
  6. Fixed crash while watching Netflix.

이번 업데이트 버전에서는 메모리 취약점을 이용한 자동 다운로드 탐지 기술과 Exploit 차단을 첫 단계에서 차단할 수 있도록 기술적인 기능을 추가하였으며, 기존 버전에서 발견된 충돌 문제를 해결하였다고 합니다.

 

현재 국내 인터넷 사용자를 대상으로 한 Exploit 공격을 통한 인터넷뱅킹, 온라인 게임, 백도어(Backdoor) 등의 악성코드 자동 감염 방식은 광범위하게 이루어지고 있으며, Exploit 차단 기술이 포함되어 있지 않은 보안 제품을 사용할 경우에는 변종에 쉽게 감염될 수 밖에 없는게 현실입니다.

예를 들어 알약(ALYac) 무료 백신 사용자가 평소 즐겨 방문하는 웹 사이트를 방문하였는데 평소와는 다르게 알약(ALYac) 실시간 감시를 통해 Trojan.IFrame.zboard.ro521 진단명으로 스크립트 파일을 진단하는 경우가 있다고 가정해 보겠습니다.

 

이는 해당 웹 사이트가 외부 공격으로 인하여 관리자 몰래 추가된 악성 파일이 웹 사이트 방문자를 대상으로 보안 패치(Windows, Internet Explorer, Adobe Flash Player, Oracle Java, Adobe PDF 등)가 제대로 이루어지지 않은 경우 자동으로 악성 파일을 다운로드하여 감염이 발생할 수 있습니다.

 

다행히 알약(ALYac) 보안 제품에서 감염을 유발하는 스크립트 파일을 위와 같이 진단하여 감염을 유발하는 실행 파일을 다운로드하지 못하도록 차단에 성공하였습니다.

 

하지만 공격자는 항상 국내 인터넷 사용자들이 많이 사용하는 보안 제품의 진단 여부를 체크하여 유포를 진행하기 때문에 악성코드 감염으로부터 자유로울 수 없습니다.

 

특히 알약(ALYac) 무료 백신처럼 취약점을 통한 악성코드 유포 방식인 Exploit 공격을 차단하는 기술이 포함되어 있지 않기 때문에 다른 보안 제품보다 더욱 쉽게 감염을 시킬 수 있습니다.

 

[Malwarebytes Anti-Exploit 프로그램과 함께 사용해야 할 보안 제품]

 

□ 국내 보안 제품 : AhnLab V3 Lite 3.1, AhnLab V3 365 클리닉 3.0, AhnLab V3 Internet Security 9.0 버전을 제외한 하위 버전(구버전) 및 알약(ALYac)을 비롯한 국내 보안 제품 일체

 

□ 해외 보안 제품 : Microsoft Security Essentials(MSE), Avira Free Antivirus 등

하지만 알약(ALYac) 무료 백신과 함께 Malwarebytes Anti-Exploit 프로그램을 함께 사용할 경우에는 사용자가 웹 사이트 방문을 통해 Exploit 공격에 노출되더라도 위와 같이 "Exploit Attempt Blocked!" 메시지와 함께 자동으로 차단이 이루어지는 것을 볼 수 있습니다.(※ 해당 웹 사이트에서 유포되는 악성코드 관련 일체는 알약(ALYac) 보안 제품에서 진단하지 못하고 있었습니다.)

자세한 차단 로그(Log)를 확인해보면 Malwarebytes Anti-Exploit 제품이 Exploit 공격을 통해 시스템 감염을 유발하는 최종 악성 파일<C:\Users\(사용자 계정)\AppData\Local\Temp\~tmp5149932211425040806.tmp (MD5 : c07e8ec9b0004e70222c10236f739c0c) - Kaspersky : Backdoor.Win32.ZAccess.egtj (VT : 9/48)>의 실행을 차단하여 감염으로 연결되지 않은 것을 확인할 수 있습니다.

이를 통해 사용자는 차단된 파일의 경로(FilePath)를 확인하여 해당 폴더에 다운로드된 파일을 삭제하시면 악성코드로부터 시스템을 성공적으로 보호하게 됩니다.

 

결론적으로 알약(ALYac) 무료 백신과 같이 Exploit 공격에 대한 차단 기술이 적용되지 않은 보안 제품은 반드시 Malwarebytes Anti-Exploit 프로그램을 설치하여 함께 사용하시길 권장하며, 그보다 더 중요한 것은 운영 체제(OS)를 비롯한 사용자 PC에 설치된 각종 소프트웨어를 항상 최신 버전으로 업데이트하시고 사용하는 습관을 가지시기 바랍니다.