업데이트 : Malwarebytes Anti-Exploit 0.09.5.0250 Beta

웹 브라우저 및 응용 프로그램의 취약점을 이용한 악성코드 유포 행위를 사전에 차단할 수 있는 기능을 제공하는 "Malwarebytes Anti-Exploit 0.09.5.0250 Beta" 버전이 업데이트 되었습니다.

 

  ▷ 알약(ALYac) + Malwarebytes Anti-Exploit 프로그램을 이용한 Exploit 공격 대응법 (2013.9.1)

 

Malwarebytes Anti-Exploit 프로그램의 기능에 대해서는 기존에 자세하게 소개한 적이 있으므로 내용을 참고하시기 바랍니다.

우선 기존에 Malwarebytes Anti-Exploit 제품을 설치하여 사용하는 사용자의 경우 Windows 부팅시 "The beta testing period has finished and  Malwarebytes Anti-Exploit is not protecting you anymore. Please contact us to obtain a newer version." 메시지를 통해 베타(Beta) 버전의 사용 종료 메시지를 출력하는 증상이 발생하는 것으로 확인되고 있습니다.

해당 메시지가 생성되는 사용자는 제어판에 등록된 Malwarebytes Anti-Exploit 삭제 항목을 이용하여 프로그램 삭제를 한 후, Windows 재부팅 이후 "Malwarebytes Anti-Exploit 0.09.5.0250 Beta" 최신 버전을 다운로드하여 재설치를 하시기 바랍니다.

1. Added new techniques for protection from stage1 exploits.
2. Added new techniques for protection from stage2 exploits.
3. Added new technique for stage1 and stage2 memory protections.
4. Added new hooking of certain Windows 8.x specific functions.
5. Added more verbose logging.
6. Fixed bug with Acrobat Reader shield.
7. Fixed bug installing MBAE in x64 systems where WinDir is in non-C drive.
8. Fixed bug "missing MSVCP100D.DLL" when uninstalling MBAE.
9. Fixed bug with excluding HitmanPro.Alert upgrades.
10. Fixed bug with negative shielded applications counter.
11. Fixed issue with Chrome extensions crash when stopping/starting MBAE.

이번 버전에서는 새로운 보호 기술 추가와 함께 기존 버전에서 발견된 버그(Bug) 문제를 수정하였다고 제작사에서는 밝히고 있습니다.

 

Malwarebytes Anti-Exploit 프로그램의 기본적인 동작 방식은 Windows 운영 체제가 시작될 때 자동으로 실행되어 프로그램에서 보호할 수 있는 웹 브라우저 또는 응용 프로그램이 동작시 보호를 통해 취약점(Exploit) 방식을 통한 악성코드 감염시 자동으로 차단이 이루어지도록 할 수 있습니다.

대표적인 Malwarebytes Anti-Exploit 프로그램의 동작 모습을 살펴보면 사용자가 웹 브라우저를 통해 웹 사이트에 접속하는 과정에서 취약점(Exploit)을 이용한 악성코드 감염이 자동으로 이루어지는 과정에서 "Exploit Attempt Blocked!" 메시지 창을 통해 차단이 이루어지는 것을 확인할 수 있습니다.

감염시 연결되는 정보를 확인해보면 Java 취약점을 이용하여 특정 서버로부터 smss.exe 파일을 자동 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp" 임시 폴더에 파일을 생성 및 실행하는 과정에서 Malwarebytes Anti-Exploit 프로그램이 자동으로 차단하는 것을 알 수 있습니다.

 

실제 최종 다운로드 파일인 smss.exe 파일<SHA-1 : 7762c0fbf23eedaf9305f0a5ce760ab8ac27dc3c - MSE : Backdoor:Win32/Zegost.AY (VT : 15/48)>이 알약(ALYac) 보안 제품에서는 진단되지 않고 있지만, Malwarebytes Anti-Exploit 프로그램 설치를 통해 사전 차단이 이루어짐으로 인해 감염이 이루어지지 않도록 예방할 수 있다는 것을 알 수 있었습니다.

 

그러므로 알약(ALYac), Daum V3, 네이버 백신(Naver Vaccine) 사용자의 경우에는 Malwarebytes Anti-Exploit 프로그램을 함께 설치하여 사용하시는 것을 개인적으로 권장하며, Malwarebytes Anti-Exploit 프로그램 사용 중 차단창이 뜨는 경우에는 사용자가 사용하는 웹 브라우저 또는 특정 응용 프로그램의 보안 패치가 완벽하게 이루어지지 않았다는 것을 의미하므로 점검을 통해 최신 버전을 사용하시기 바랍니다.

 

[관련글 보기]

 

☞ 업데이트 : Malwarebytes Anti-Exploit 0.9.4.1000 Beta (2013.10.17)