본문 바로가기

벌새::Software

업데이트 : Malwarebytes Anti-Exploit 1.05.1.1014

반응형

 Malwarebytes 해외 보안 업체에서 제공하는 유/무료 취약점(Exploit) 차단 솔루션 Malwarebytes Anti-Exploit 1.05.1.1014 버전이 공개되었습니다.

Malwarebytes Anti-Exploit 보안 제품에 대해서는 기존부터 소개를 한 적이 있기에 이번 버전에서 변경된 부분 중 핵심적인 몇 가지만 간단하게 살펴보도록 하겠습니다.

  • Engine (DLL) code re-write to improve stability and compatibility.
  • Added mitigations DEP Enformcement, Anti-HeapSpraying and BottomUp ASLR.
  • Added Quarantine of blocked payloads from Layer3 detections.
  • Added new "Protection stopped" traybar balloon.

이번 버전에서는 제품 안정성과 호환성 향상을 목적으로 엔진 코드를 재작성하였으며, 보호되는 프로세스 동작시 DEP/Anti-HeapSpraying/BottomUp ASLR 보안 기능 실행을 추가하였습니다.

 

특히 기존 버전까지는 취약점(Exploit)을 통해 다운로드된 최종 악성 파일을 임시 폴더에 그대로 남겨두던 부분을 수정하여 검역소 폴더(C:\ProgramData\Malwarebytes Anti-Exploit\Quarantine)로 자동 이동하도록 하였습니다.

또한 사용자가 Malwarebytes Anti-Exploit 제품의 실시간 보호 기능을 중지한 경우 풍선창을 통해 알리도록 변경하였습니다.

  • Added new Layer0 "Application Hardening" protections.
  • Added Layer1 new generic ROP protection mitigations.
  • Added Layer1 new StackPivoting 64bit protection mitigation.
  • Added Layer1 new StackExec 64bit protection mitigation.
  • Added Layer2 new caller mitigations for 64bits.
  • Added Layer3 new application behavior mitigations.

그 외에도 새로운 보호 기능을 새롭게 추가하여 한층 강화된 취약점(Exploit) 차단 기능이 이루어지도록 업데이트가 되었습니다.

 

이전과 마찬가지로 현재 취약점(Exploit)을 통한 악성코드 유포가 이루어지고 있는 특정 국내 웹 사이트를 통해 제품의 차단 모습과 추가적인 정보를 살펴보도록 하겠습니다.

최신 보안 패치가 제대로 이루어지지않은 PC 환경에서 국내 낚시 관련 웹 사이트를 방문하였을 경우 "Exploit Attempt Blocked!" 경고창을 생성하여 악성코드 감염을 차단하는 모습을 확인할 수 있습니다.

이번에 새롭게 추가된 검역소 폴더를 확인해보면 최종 파일<(MD5).mbae>이 백업되어 있는 것을 확인할 수 있습니다.(※ AhnLab V3 사용자 중에서 웹 사이트에 접속했는데 "프로그램 실행 알림"창이 생성되어 특정 파일의 실행 여부를 묻는다면 제발 신뢰하여 실행하지 좀 말자!!!no2)

  • h**p://www.hbe**.com/data/index.html - avast! : JS:Iframe-ELL [Trj]
  • h**p://www.**novo.kr/alditor/images/index.html - avast! : JS:Includer-BHT [Trj]
  • h**p://www.***sionvalley.com/svc/tp/index.html - Kaspersky : HEUR:Exploit.Script.Generic
  • h**p://www.***sionvalley.com/svc/tp/main.html - MSE : VirTool:VBS/Obfuscator.H
  • h**p://www.***sionvalley.com/svc/tp/nbwm.jar - 알약(ALYac) : Java.Exploit.CVE-2012-4681.D
  • h**p://www.kimhyun***.co.kr/pre/img/v3c.exe (SHA-1 : da185ed4be7b6e395133521b775f16ef8ea59c2f) - AhnLab V3 : Trojan/Win32.StartPage.C647287 (VT : 33/53)

최종 파일이 다운로드된 과정을 간단하게 확인해보면 Oracle Java 취약점(CVE-2012-4681), Windows 취약점(CVE-2014-6332)을 이용하여 v3c.exe 악성 파일이 다운로드된 것을 확인할 수 있었습니다.

만약 Malwarebytes Anti-Exploit 프로그램을 사용하지 않으면서 백신 프로그램이 진단을 하지 못하였을 경우 악성코드에 감염된 시스템은 특정 QQ 계정에 등록된 IP 값(180.178.35.226)을 체크합니다.

그 후 사용자 PC에 저장되어 있는 공인인증서(NPKI) 폴더를 찾아 관련 파일을 임시 폴더에 ZIP 압축하여 QQ 서버에서 체크한 IP 서버로 파일을 업로드하는 동작을 확인할 수 있습니다.

 

이를 통해 공인인증서 탈취가 완료된 후 사용자가 금융 사이트 접속 또는 포털 사이트 접속시 가짜 웹 사이트로 연결하여 추가적인 금융 정보를 수집할 수 있습니다.

 

이처럼 최근 방송을 통해 이슈가 되고 있는 금융 사고를 통해 재산 피해를 쉽게 당할 수 있는 시발점을 차단할 수 있는 Malwarebytes Anti-Exploit 취약점(Exploit) 차단 솔루션을 백신 프로그램과 함께 사용하시면 다양한 악성코드 변종을 이용한 시스템 감염을 사전에 차단할 수 있습니다.

현재 취약점(Exploit) 차단 솔루션은 국내에서도 2종의 제품이 무료로 공개되어 있으며, 개인적으로 제한적인 기능을 제공하는 Malwarebytes Anti-Exploit 제품보다는 국내 제품을 사용하시길 권장합니다.(※ 안랩(AhnLab) 보안 제품은 AntiExploit 기능이 통합되어 있습니다.)

728x90
반응형
  • heaye 2015.01.27 21:52 댓글주소 수정/삭제 댓글쓰기

    오호.. 국내에도 유사제품이 있었군요.
    익스플로잇 쉴드라고 해서, 대체 무슨제품인가 싶었는데..

    그런데,
    anti-malware 설치하고, 또 따로 anti-exploit 설치하고..
    이게 좀..; 개념적으로 받아들이기가 어렵네요.
    왜 따로따로 제품으로 만들었을까요. 한데 모아서 한개 제품으로 안만들고..

  • 몰라 2015.05.23 01:02 댓글주소 수정/삭제 댓글쓰기

    Malwarebytes Anti-Exploit 프리미엄 사용자입니다 무료버전이 아닌 유료버전이니 바이로봇이나 알약제품보단 낫겠죠?

    • 정확하게는 알 수 없지만 바이로봇의 경우 한컴오피스 취약점 보호가 되지만 Malwarebytes는 기본적으로 제공되지 않는 것 같습니다. 물론 유료 버전인 경우에는 추가적으로 보호할 애플리케이션을 추가할 수 있을 것 같더군요.

  • 사용자 2016.07.17 23:37 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 올려주셔서 감사합니다.
    Malwarebytes Anti-Exploit를 깔아서 사용하려다가 두 가지 의문점이 생겨서 그런데 답변해주실 수 있으실지요?
    하나는 바이러스 대응으로 AVAST Free를 사용 중인데 얼핏 듣기론 다른 무료 제품들에 비해서 스크립트 방어라든가 웹방어가 낫다는 얘길 들었는데, Malwarebytes Anti-Exploit를 설치해서 사용하면 기능이 중복될 여지는 없을까요?

    그리고 다른 하나는 설치해서 설정창을 보다보니까 익명이라고 표기되어 있긴 한데 강제적으로 3종류의 정보를 보내도록 되어 있던데, 무료제품들 중에 이렇게까지 강제적으로 정보 발송을 하는 걸 본 적이 없어서 좀 불안하네요. 괜찮은 걸까요?

    이것들 때문에 사용하려다가 찜찜한 구석이 있어서 보류하고 있네요. 시간되시면 의견 좀 부탁드립니다.

    • Malwarebytes Anti-Exploit 프로그램은 백신 제품의 보호 영역과 일부 겹치는 것은 분명합니다.

      백신 프로그램 중에서 취약점을 통한 감염을 사전 차단할 목적으로 Malwarebytes Anti-Exploit 프로그램과 유사한 기능을 포함하고 있는 경우가 많습니다.

      정보 전송되는 부분에 대해서는 확인하지 않았지만 일반적으로 Malwarebytes Anti-Exploit 제품이 특정 행위를 차단할 경우 해당 정보(URL, 생성 파일 정보, 소프트웨어 버전 정보 등)가 전송되는 것이 아닐까 싶습니다.

  • 사용자 2016.07.18 10:10 댓글주소 수정/삭제 댓글쓰기

    그렇군요. 빠르고 친절한 답변 감사합니다. (대댓글이 없어서 보통 댓글로 답니다)