울지않는벌새 : Security, Movie & Society

업데이트 : Malwarebytes Anti-Exploit 1.05.1.1014

벌새::Software

 Malwarebytes 해외 보안 업체에서 제공하는 유/무료 취약점(Exploit) 차단 솔루션 Malwarebytes Anti-Exploit 1.05.1.1014 버전이 공개되었습니다.

Malwarebytes Anti-Exploit 보안 제품에 대해서는 기존부터 소개를 한 적이 있기에 이번 버전에서 변경된 부분 중 핵심적인 몇 가지만 간단하게 살펴보도록 하겠습니다.

  • Engine (DLL) code re-write to improve stability and compatibility.
  • Added mitigations DEP Enformcement, Anti-HeapSpraying and BottomUp ASLR.
  • Added Quarantine of blocked payloads from Layer3 detections.
  • Added new "Protection stopped" traybar balloon.

이번 버전에서는 제품 안정성과 호환성 향상을 목적으로 엔진 코드를 재작성하였으며, 보호되는 프로세스 동작시 DEP/Anti-HeapSpraying/BottomUp ASLR 보안 기능 실행을 추가하였습니다.

 

특히 기존 버전까지는 취약점(Exploit)을 통해 다운로드된 최종 악성 파일을 임시 폴더에 그대로 남겨두던 부분을 수정하여 검역소 폴더(C:\ProgramData\Malwarebytes Anti-Exploit\Quarantine)로 자동 이동하도록 하였습니다.

또한 사용자가 Malwarebytes Anti-Exploit 제품의 실시간 보호 기능을 중지한 경우 풍선창을 통해 알리도록 변경하였습니다.

  • Added new Layer0 "Application Hardening" protections.
  • Added Layer1 new generic ROP protection mitigations.
  • Added Layer1 new StackPivoting 64bit protection mitigation.
  • Added Layer1 new StackExec 64bit protection mitigation.
  • Added Layer2 new caller mitigations for 64bits.
  • Added Layer3 new application behavior mitigations.

그 외에도 새로운 보호 기능을 새롭게 추가하여 한층 강화된 취약점(Exploit) 차단 기능이 이루어지도록 업데이트가 되었습니다.

 

이전과 마찬가지로 현재 취약점(Exploit)을 통한 악성코드 유포가 이루어지고 있는 특정 국내 웹 사이트를 통해 제품의 차단 모습과 추가적인 정보를 살펴보도록 하겠습니다.

최신 보안 패치가 제대로 이루어지지않은 PC 환경에서 국내 낚시 관련 웹 사이트를 방문하였을 경우 "Exploit Attempt Blocked!" 경고창을 생성하여 악성코드 감염을 차단하는 모습을 확인할 수 있습니다.

이번에 새롭게 추가된 검역소 폴더를 확인해보면 최종 파일<(MD5).mbae>이 백업되어 있는 것을 확인할 수 있습니다.(※ AhnLab V3 사용자 중에서 웹 사이트에 접속했는데 "프로그램 실행 알림"창이 생성되어 특정 파일의 실행 여부를 묻는다면 제발 신뢰하여 실행하지 좀 말자!!!no2)

  • h**p://www.hbe**.com/data/index.html - avast! : JS:Iframe-ELL [Trj]
  • h**p://www.**novo.kr/alditor/images/index.html - avast! : JS:Includer-BHT [Trj]
  • h**p://www.***sionvalley.com/svc/tp/index.html - Kaspersky : HEUR:Exploit.Script.Generic
  • h**p://www.***sionvalley.com/svc/tp/main.html - MSE : VirTool:VBS/Obfuscator.H
  • h**p://www.***sionvalley.com/svc/tp/nbwm.jar - 알약(ALYac) : Java.Exploit.CVE-2012-4681.D
  • h**p://www.kimhyun***.co.kr/pre/img/v3c.exe (SHA-1 : da185ed4be7b6e395133521b775f16ef8ea59c2f) - AhnLab V3 : Trojan/Win32.StartPage.C647287 (VT : 33/53)

최종 파일이 다운로드된 과정을 간단하게 확인해보면 Oracle Java 취약점(CVE-2012-4681), Windows 취약점(CVE-2014-6332)을 이용하여 v3c.exe 악성 파일이 다운로드된 것을 확인할 수 있었습니다.

만약 Malwarebytes Anti-Exploit 프로그램을 사용하지 않으면서 백신 프로그램이 진단을 하지 못하였을 경우 악성코드에 감염된 시스템은 특정 QQ 계정에 등록된 IP 값(180.178.35.226)을 체크합니다.

그 후 사용자 PC에 저장되어 있는 공인인증서(NPKI) 폴더를 찾아 관련 파일을 임시 폴더에 ZIP 압축하여 QQ 서버에서 체크한 IP 서버로 파일을 업로드하는 동작을 확인할 수 있습니다.

 

이를 통해 공인인증서 탈취가 완료된 후 사용자가 금융 사이트 접속 또는 포털 사이트 접속시 가짜 웹 사이트로 연결하여 추가적인 금융 정보를 수집할 수 있습니다.

 

이처럼 최근 방송을 통해 이슈가 되고 있는 금융 사고를 통해 재산 피해를 쉽게 당할 수 있는 시발점을 차단할 수 있는 Malwarebytes Anti-Exploit 취약점(Exploit) 차단 솔루션을 백신 프로그램과 함께 사용하시면 다양한 악성코드 변종을 이용한 시스템 감염을 사전에 차단할 수 있습니다.

현재 취약점(Exploit) 차단 솔루션은 국내에서도 2종의 제품이 무료로 공개되어 있으며, 개인적으로 제한적인 기능을 제공하는 Malwarebytes Anti-Exploit 제품보다는 국내 제품을 사용하시길 권장합니다.(※ 안랩(AhnLab) 보안 제품은 AntiExploit 기능이 통합되어 있습니다.)