본문 바로가기

벌새::Security

Microsoft Security Essentials (MSE) 애드웨어 진단 정책 변화 (2014.10.20)

반응형

마이크로소프트(Microsoft) 업체에서는 2014년 4월경에 새로운 애드웨어(Adware)에 대한 진단 정책을 통해 더욱 교묘해지는 광고 프로그램에 대한 대응을 할 것이라고 예고를 하였으며, 최근 구체적으로 변경되는 새로운 애드웨어(Adware) 진단 정책의 사례를 공개하였습니다.

이번에 공개된 애드웨어(Adware) 진단 정책은 Microsoft Security Essentials (MSE), Windows Defender 보안 제품에 적용되어 사용자가 제대로 인지하지 못하도록 조작된 광고 프로그램 행위에 대해 진단이 이루어질 것으로 보입니다.

 

1. Internet Explorer 웹 브라우저의 확장 프로그램 추가 알림바 조작 행위

레지스트리 값 조작을 하지 않았을 경우 생성되어야 할 곰Helper 알림바

정상적인 Windows 운영 체제 환경에서는 프로그램 설치를 통해 Internet Explorer 웹 브라우저의 확장 프로그램으로 등록될 경우 그림과 같은 노란색 알림바를 생성하여 확장 프로그램 사용 여부를 묻도록 되어 있습니다.

 

위와 같은 동의 절차는 Internet Explorer 웹 브라우저 외에도 Google Chrome, Mozilla Firefox 웹 브라우저의 확장 프로그램(플러그인) 추가시에도 동일한 사용자 동의를 통해 설치되는 것이 일반적입니다.

 

그런데 위와 같은 동의를 우회하여 자동으로 사용하도록 조작하는 광고 프로그램이 국내외에서 다수 발견되고 있는 것이 사실이며, 이로 인하여 웹 브라우저 실행시 자동 실행되는 광고 모듈로 인하여 원치않는 광고창 생성 등의 문제를 유발하는 부분에 대해 진단 정책에 포함한다고 발표하였습니다.

그 중 국내 인터넷 사용자들에게 가장 많이 설치될 수 있는 곰플레이어(GOM Player) 동영상 재생 프로그램에 포함된 광고 프로그램 "곰Helper + 확장검색서비스"를 통해 사례를 살펴보도록 하겠습니다.

곰플레이어(GOM Player) 프로그램 설치시 선택 항목으로 포함된 "곰Helper 설치 (선택)" 항목을 체크한 상태로 설치를 진행하는 사용자들이 다수 존재합니다.

프로그램 설치가 완료된 후 Internet Explorer 웹 브라우저를 실행하면 도구 모음 및 확장 프로그램 영역에 "GRETECH"에서 배포한 "GomHelper, 확장검색서비스" 브라우저 도우미 개체(BHO)가 사용자 동의없이 자동으로 활성화된 것을 볼 수 있습니다.

 

그렇다면 어떤 방식으로 Internet Explorer 웹 브라우저의 노란색 알림바 생성을 우회하였는지 확인해 보겠습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

곰플레이어(GOM Player) 프로그램의 경우에는 설치시 "IgnoreFrameApprovalCheck" 16진수 레지스트리 값을 추가하여 알림바 생성이 이루어지지 않도록 정책을 변경하였습니다.

그 외의 방법으로는 로컬 그룹 정책의 Internet Explorer 웹 브라우저 항목의 "새로 설치된 추가 기능 자동 활성화" 설정값을 변경하여 알림바 생성을 우회할 수 있으며, 환경 설정 파일을 변경하는 다양한 방법이 존재할 수 있습니다.

 

2. Internet Explorer 웹 브라우저의 확장 프로그램 사용 버튼 비활성화 조작 행위

Internet Explorer 웹 브라우저의 확장 프로그램으로 등록된 항목은 기본적으로 사용자가 사용 여부를 결정할 수 있는 버튼을 활성화 상태로 제공하고 있습니다.

그런데 해외 광고 프로그램을 중심으로 확장 프로그램의 사용을 강제할 목적으로 버튼을 비활성화하는 수법이 도입되어 설치되는 경우를 심심찮게 발견할 수 있습니다.

최근 살펴본 GoSave 계열의 해외 광고 프로그램의 경우 Internet Explorer 웹 브라우저 확장 프로그램에 등록된 "GoSaave" 항목을 사용자가 사용하지 못하도록 변경하지 못하게 버튼을 비활성화한 것을 볼 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\
CLSID
 - {광고 프로그램 등록 CLSID 값}

위와 같이 특정 브라우저 도우미 개체(BHO) 항목의 버튼을 비활성화하는 방법으로 레지스트리 값 조작을 통해 가능하며, 등록된 광고 프로그램이 추가한 CLSID 값을 삭제하지 않는 이상 버튼을 활성화하기 어렵습니다.

그 외에도 로컬 그룹 정책의 Internet Explorer 웹 브라우저 항목에서 "사용자가 추가 기능을 사용 또는 사용하지 않도록 허용 안 함" 설정값을 변경하여 확장 프로그램의 버튼 일체를 비활성화할 수도 있습니다.

 

위와 같이 마이크로소프트(Microsoft)에서 제공하는 보안 제품에서는 Internet Explorer 웹 브라우저 동작시 함께 실행되는 확장 프로그램을 사용자가 인지하지 못하는 과정에서 자동 등록 및 사용을 중지할 수 없도록 하는 기법에 대한 애드웨어(Adware) 진단 정책에 포함될 수 있다고 밝히고 있습니다.

 

테스트 당시에는 이들 행위를 하는 프로그램에 대한 어떠한 진단(차단)이 이루어지지 않고 있지만, 위와 같은 방식으로 설치되는 광고 프로그램을 발견한다면 마이크로소프트(Microsoft) 악성코드 신고 센터에 파일을 첨부하여 진단이 이루어질 수 있도록 제공하시기 바랍니다.

728x90
반응형