웹 브라우저 및 응용 프로그램의 취약점을 이용한 악성코드 유포 행위를 사전에 차단할 수 있는 기능을 제공하는 "Malwarebytes Anti-Exploit 0.09.5.0250 Beta" 버전이 업데이트 되었습니다.
▷ 알약(ALYac) + Malwarebytes Anti-Exploit 프로그램을 이용한 Exploit 공격 대응법 (2013.9.1)
Malwarebytes Anti-Exploit 프로그램의 기능에 대해서는 기존에 자세하게 소개한 적이 있으므로 내용을 참고하시기 바랍니다.
우선 기존에 Malwarebytes Anti-Exploit 제품을 설치하여 사용하는 사용자의 경우 Windows 부팅시 "The beta testing period has finished and Malwarebytes Anti-Exploit is not protecting you anymore. Please contact us to obtain a newer version." 메시지를 통해 베타(Beta) 버전의 사용 종료 메시지를 출력하는 증상이 발생하는 것으로 확인되고 있습니다.
해당 메시지가 생성되는 사용자는 제어판에 등록된 Malwarebytes Anti-Exploit 삭제 항목을 이용하여 프로그램 삭제를 한 후, Windows 재부팅 이후 "Malwarebytes Anti-Exploit 0.09.5.0250 Beta" 최신 버전을 다운로드하여 재설치를 하시기 바랍니다.
- Added new techniques for protection from stage1 exploits.
- Added new techniques for protection from stage2 exploits.
- Added new technique for stage1 and stage2 memory protections.
- Added new hooking of certain Windows 8.x specific functions.
- Added more verbose logging.
- Fixed bug with Acrobat Reader shield.
- Fixed bug installing MBAE in x64 systems where WinDir is in non-C drive.
- Fixed bug "missing MSVCP100D.DLL" when uninstalling MBAE.
- Fixed bug with excluding HitmanPro.Alert upgrades.
- Fixed bug with negative shielded applications counter.
- Fixed issue with Chrome extensions crash when stopping/starting MBAE.
이번 버전에서는 새로운 보호 기술 추가와 함께 기존 버전에서 발견된 버그(Bug) 문제를 수정하였다고 제작사에서는 밝히고 있습니다.
Malwarebytes Anti-Exploit 프로그램의 기본적인 동작 방식은 Windows 운영 체제가 시작될 때 자동으로 실행되어 프로그램에서 보호할 수 있는 웹 브라우저 또는 응용 프로그램이 동작시 보호를 통해 취약점(Exploit) 방식을 통한 악성코드 감염시 자동으로 차단이 이루어지도록 할 수 있습니다.
대표적인 Malwarebytes Anti-Exploit 프로그램의 동작 모습을 살펴보면 사용자가 웹 브라우저를 통해 웹 사이트에 접속하는 과정에서 취약점(Exploit)을 이용한 악성코드 감염이 자동으로 이루어지는 과정에서 "Exploit Attempt Blocked!" 메시지 창을 통해 차단이 이루어지는 것을 확인할 수 있습니다.
감염시 연결되는 정보를 확인해보면 Java 취약점을 이용하여 특정 서버로부터 smss.exe 파일을 자동 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp" 임시 폴더에 파일을 생성 및 실행하는 과정에서 Malwarebytes Anti-Exploit 프로그램이 자동으로 차단하는 것을 알 수 있습니다.
실제 최종 다운로드 파일인 smss.exe 파일<SHA-1 : 7762c0fbf23eedaf9305f0a5ce760ab8ac27dc3c - MSE : Backdoor:Win32/Zegost.AY (VT : 15/48)>이 알약(ALYac) 보안 제품에서는 진단되지 않고 있지만, Malwarebytes Anti-Exploit 프로그램 설치를 통해 사전 차단이 이루어짐으로 인해 감염이 이루어지지 않도록 예방할 수 있다는 것을 알 수 있었습니다.
그러므로 알약(ALYac), Daum V3, 네이버 백신(Naver Vaccine) 사용자의 경우에는 Malwarebytes Anti-Exploit 프로그램을 함께 설치하여 사용하시는 것을 개인적으로 권장하며, Malwarebytes Anti-Exploit 프로그램 사용 중 차단창이 뜨는 경우에는 사용자가 사용하는 웹 브라우저 또는 특정 응용 프로그램의 보안 패치가 완벽하게 이루어지지 않았다는 것을 의미하므로 점검을 통해 최신 버전을 사용하시기 바랍니다.