2021.01.04

윈도우 환경에서 악성 자바스크립트 파일을 차단하는 방법

Susan Bradley | CSO
최근 구글 크롬, 모질라 파이어폭스, 인터넷 익스플로러 시작 페이지를 스푸핑하는 가짜 업데이트에 대한 보고가 잇따르고 있다. 사용자가 업그레이드 옵션을 클릭하면 자바스크립트 파일이 다운로드되어 악성코드를 실행한다. 이 기본 동작을 차단하거나 변경해 워크스테이션을 보호할 수 있는 여러 가지 방법이 있다.
 
ⓒ Getty Images Bank


이메일 게이트웨이에서 자바스크립트 차단

가장 먼저 해야 할 일은 이메일 게이트웨이에서 .js와 .jse 파일 형식을 차단하는 것이다. 일반 사용자는 자바스크립트 파일을 보내거나 받을 이유가 없다. 차단되는 모든 파일 형식을 정기적으로 검토해 받고자 하는 파일 형식만 허용해야 한다. 또한 방화벽과 이메일, 파일 전송 및 기타 수단을 통해 허용되는 파일도 주기적으로 검토해야 한다. 사용자에게 허용되는 파일 형식과 허용되지 않는 파일 형식을 명확하게 알린다. 웹 기반 포털의 경우 허용되는 것과 그렇지 않은 것을 사이트에 문서화하는 방법으로 손쉽게 알릴 수 있다.


신뢰할 수 없는 파일 형식을 다른 파일 형식에 다시 연결

오래전부터 존재해온 또 다른 방법이 있다. 특정 파일 형식을 다른 파일 형식에 다시 연결하는 방법이다. 워크스테이션에서 기본 앱을 연 다음 '파일 형식별 기본 앱 선택'을 클릭한다. .js 파일 형식을 찾아 메모장으로 열도록 설정을 조정한다.
 
ⓒ Susan Bradley

도메인 전체에 적용하려면 '컴퓨터 구성'에서 '관리 템플릿', '기본 설정/제어판 설정/폴더 옵션'으로 이동해 그룹 정책을 사용한다. 다음과 같이 “새 파일 형식 속성” 아래에 새 파일 형식을 추가한다.
 
ⓒ Susan Bradley
 
.jse 파일에 대해서도 동일한 단계를 수행해 두 파일 형식 모두 자바스크립트를 실행하지 못하도록 한다. 사용자에게 이 특정 파일 형식이 필요한 경우 그룹 정책에서 특정 컴퓨터 그룹과 조직 단위를 설정해 재연결 정책을 해당 사용자에게만 적용하고 자바스크립트 기능이 필요한 사용자에 대한 파일 형식 재연결을 제외할 수 있다.


공격 표면 감소

다음으로, 마이크로소프트 디펜더 ATP의 공격 표면 감소(Attack Surface Reduction, ASR) 기능을 사용해 네트워크 보안을 더 강화할 수 있다. 윈도우 10 엔터프라이즈 라이선스 또는 마이크로소프트 365 E5 없이 윈도우 10 프로페셔널 라이선스만 있어도 자바스크립트 또는 VB스크립트에 대비한 보호는 가능하다. 엔터프라이즈 라이선스가 없으면 엔드포인트용 디펜터(Defender for Endpoint)에 제공되는 모니터링, 분석, 워크플로우를 포함한 일부 관리 기능과 마이크로소프트 365 보안 센터의 보고 및 구성 기능을 사용할 수 없다.

윈도우 10 버전 1709(RS3, 빌드 16299) 이상에서 ASR 규칙을 설정해 자바스크립트와 VB스크립트를 차단할 수 있다. ASR 규칙을 설정하는 방법은 다양하다. 인튠(Intune)을 이용할 수 있다면 '장치'를 선택한 다음 '구성 프로필'을 선택한다. 새 보호 프로필을 만들거나 기존 엔드포인트 보호 프로필을 선택한다. '프로필 유형'에서 '엔드포인트 보호'를 선택하고 프로필 이름을 지정한다. 기존 프로필을 선택한 경우 '속성', '설정'을 차례로 선택한다. '구성 설정' 아래에서 '마이크로소프트 디펜더 익스플로잇 가드(Microsoft Defender Exploit Guard)'를 선택하고 '공격 표면 감소' 부분으로 스크롤한다. 아래로 스크롤해서 js/vbs 관련 설정을 선택한다.

인튠에서 스크립트 위협을 차단하기 위해 이용하는 규칙은 다음과 같다. 
  • 난독 처리된 js/vbs/ps/매크로 코드
  • 인터넷에서 페이로드 다운로드를 실행하는 js/vbs(예외 없음)

이메일 위협을 차단하기 위해 필자가 사용하는 규칙은 다음과 같다.
  • 이메일(웹메일/메일 클라이언트)에서 드롭된 실행 가능한 콘텐츠(exe, dll, ps, js, vbs 등)의 실행(예외 없음)

마이크로소프트 엔드포인트 구성 관리자(Microsoft Endpoint Configuration Manager)에 접근할 수 있다면 '자산 및 규정 준수', '엔드포인트 보호', '마이크로소프트 디펜더 익스플로잇 가드'로 차례로 이동한다. 여기서 '홈'을 선택한 다음, '익스플로잇 가드 정책 만들기', '다음'을 선택한다. 차단하거나 감사할 ASR 규칙을 선택한다. 설정을 검토하고 '다음'을 선택해 정책을 만든다.

인튠과 구성 관리자에서 모두 활성화할 규칙에 설정할 동작을 선택하기만 하면 된다. GUID를 알 필요가 없고 다른 복잡한 단계도 없다.

다음으로, 그룹 정책 관리 컴퓨터를 사용한다면 그룹 정책 관리 콘솔을 열고 구성할 그룹 정책 개체를 마우스 오른쪽 버튼으로 클릭한 다음 '편집(Edit)'을 선택한다. '컴퓨터 구성'으로 이동해 '관리 템플릿'을 선택한다. 윈도우 구성요소로 트리를 확장한 다음 '마이크로소프트 디펜더 바이러스 백신', '윈도우 디펜더 익스플로잇 가드', '공격 표면 감소'로 차례로 이동한다. '공격 표면 감소 규칙 구성', '사용'을 선택한다. 여기서 옵션 세션의 각 규칙에 대한 개별 상태를 설정한다. '표시…'를 선택하고 '값 이름' 열에 규칙 ID를 입력하고(D3E037E1-3EB8-44C8-A917-57927947596D), 다음과 같이 '값' 열에 선택한 상태를 입력한다.

Disable = 0
Block (enable ASR rule) = 1
Audit = 2


동일한 설정을 파워셸을 사용해 구성하려면 관리자 파워셸 프롬프트에서 명령줄을 실행한다. - 규칙: 자바스크립트 또는 VB스크립트에서 다운로드된 실행 가능 콘텐츠를 실행하지 못하도록 차단한다. 

Set-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled

그런 다음 Get-MPPreference cmdlet을 사용해 규칙 상태와 성공적으로 적용되었는지 여부를 확인할 수 있다.

최소 30일 동안은 앞서 설명한 보호 방법을 전체 실행하는 것보다는 감사할 것을 권장한다. 감사 결과 문제가 없다고 판단되면 보호 수단을 완전히 전개할 수 있다. 언제나 그랬듯이 최종 사용자를 위해 어떤 보호 수단을 두고 있는지를 검토해야 한다. editor@itworld.co.kr


2021.01.04

윈도우 환경에서 악성 자바스크립트 파일을 차단하는 방법

Susan Bradley | CSO
최근 구글 크롬, 모질라 파이어폭스, 인터넷 익스플로러 시작 페이지를 스푸핑하는 가짜 업데이트에 대한 보고가 잇따르고 있다. 사용자가 업그레이드 옵션을 클릭하면 자바스크립트 파일이 다운로드되어 악성코드를 실행한다. 이 기본 동작을 차단하거나 변경해 워크스테이션을 보호할 수 있는 여러 가지 방법이 있다.
 
ⓒ Getty Images Bank


이메일 게이트웨이에서 자바스크립트 차단

가장 먼저 해야 할 일은 이메일 게이트웨이에서 .js와 .jse 파일 형식을 차단하는 것이다. 일반 사용자는 자바스크립트 파일을 보내거나 받을 이유가 없다. 차단되는 모든 파일 형식을 정기적으로 검토해 받고자 하는 파일 형식만 허용해야 한다. 또한 방화벽과 이메일, 파일 전송 및 기타 수단을 통해 허용되는 파일도 주기적으로 검토해야 한다. 사용자에게 허용되는 파일 형식과 허용되지 않는 파일 형식을 명확하게 알린다. 웹 기반 포털의 경우 허용되는 것과 그렇지 않은 것을 사이트에 문서화하는 방법으로 손쉽게 알릴 수 있다.


신뢰할 수 없는 파일 형식을 다른 파일 형식에 다시 연결

오래전부터 존재해온 또 다른 방법이 있다. 특정 파일 형식을 다른 파일 형식에 다시 연결하는 방법이다. 워크스테이션에서 기본 앱을 연 다음 '파일 형식별 기본 앱 선택'을 클릭한다. .js 파일 형식을 찾아 메모장으로 열도록 설정을 조정한다.
 
ⓒ Susan Bradley

도메인 전체에 적용하려면 '컴퓨터 구성'에서 '관리 템플릿', '기본 설정/제어판 설정/폴더 옵션'으로 이동해 그룹 정책을 사용한다. 다음과 같이 “새 파일 형식 속성” 아래에 새 파일 형식을 추가한다.
 
ⓒ Susan Bradley
 
.jse 파일에 대해서도 동일한 단계를 수행해 두 파일 형식 모두 자바스크립트를 실행하지 못하도록 한다. 사용자에게 이 특정 파일 형식이 필요한 경우 그룹 정책에서 특정 컴퓨터 그룹과 조직 단위를 설정해 재연결 정책을 해당 사용자에게만 적용하고 자바스크립트 기능이 필요한 사용자에 대한 파일 형식 재연결을 제외할 수 있다.


공격 표면 감소

다음으로, 마이크로소프트 디펜더 ATP의 공격 표면 감소(Attack Surface Reduction, ASR) 기능을 사용해 네트워크 보안을 더 강화할 수 있다. 윈도우 10 엔터프라이즈 라이선스 또는 마이크로소프트 365 E5 없이 윈도우 10 프로페셔널 라이선스만 있어도 자바스크립트 또는 VB스크립트에 대비한 보호는 가능하다. 엔터프라이즈 라이선스가 없으면 엔드포인트용 디펜터(Defender for Endpoint)에 제공되는 모니터링, 분석, 워크플로우를 포함한 일부 관리 기능과 마이크로소프트 365 보안 센터의 보고 및 구성 기능을 사용할 수 없다.

윈도우 10 버전 1709(RS3, 빌드 16299) 이상에서 ASR 규칙을 설정해 자바스크립트와 VB스크립트를 차단할 수 있다. ASR 규칙을 설정하는 방법은 다양하다. 인튠(Intune)을 이용할 수 있다면 '장치'를 선택한 다음 '구성 프로필'을 선택한다. 새 보호 프로필을 만들거나 기존 엔드포인트 보호 프로필을 선택한다. '프로필 유형'에서 '엔드포인트 보호'를 선택하고 프로필 이름을 지정한다. 기존 프로필을 선택한 경우 '속성', '설정'을 차례로 선택한다. '구성 설정' 아래에서 '마이크로소프트 디펜더 익스플로잇 가드(Microsoft Defender Exploit Guard)'를 선택하고 '공격 표면 감소' 부분으로 스크롤한다. 아래로 스크롤해서 js/vbs 관련 설정을 선택한다.

인튠에서 스크립트 위협을 차단하기 위해 이용하는 규칙은 다음과 같다. 
  • 난독 처리된 js/vbs/ps/매크로 코드
  • 인터넷에서 페이로드 다운로드를 실행하는 js/vbs(예외 없음)

이메일 위협을 차단하기 위해 필자가 사용하는 규칙은 다음과 같다.
  • 이메일(웹메일/메일 클라이언트)에서 드롭된 실행 가능한 콘텐츠(exe, dll, ps, js, vbs 등)의 실행(예외 없음)

마이크로소프트 엔드포인트 구성 관리자(Microsoft Endpoint Configuration Manager)에 접근할 수 있다면 '자산 및 규정 준수', '엔드포인트 보호', '마이크로소프트 디펜더 익스플로잇 가드'로 차례로 이동한다. 여기서 '홈'을 선택한 다음, '익스플로잇 가드 정책 만들기', '다음'을 선택한다. 차단하거나 감사할 ASR 규칙을 선택한다. 설정을 검토하고 '다음'을 선택해 정책을 만든다.

인튠과 구성 관리자에서 모두 활성화할 규칙에 설정할 동작을 선택하기만 하면 된다. GUID를 알 필요가 없고 다른 복잡한 단계도 없다.

다음으로, 그룹 정책 관리 컴퓨터를 사용한다면 그룹 정책 관리 콘솔을 열고 구성할 그룹 정책 개체를 마우스 오른쪽 버튼으로 클릭한 다음 '편집(Edit)'을 선택한다. '컴퓨터 구성'으로 이동해 '관리 템플릿'을 선택한다. 윈도우 구성요소로 트리를 확장한 다음 '마이크로소프트 디펜더 바이러스 백신', '윈도우 디펜더 익스플로잇 가드', '공격 표면 감소'로 차례로 이동한다. '공격 표면 감소 규칙 구성', '사용'을 선택한다. 여기서 옵션 세션의 각 규칙에 대한 개별 상태를 설정한다. '표시…'를 선택하고 '값 이름' 열에 규칙 ID를 입력하고(D3E037E1-3EB8-44C8-A917-57927947596D), 다음과 같이 '값' 열에 선택한 상태를 입력한다.

Disable = 0
Block (enable ASR rule) = 1
Audit = 2


동일한 설정을 파워셸을 사용해 구성하려면 관리자 파워셸 프롬프트에서 명령줄을 실행한다. - 규칙: 자바스크립트 또는 VB스크립트에서 다운로드된 실행 가능 콘텐츠를 실행하지 못하도록 차단한다. 

Set-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled

그런 다음 Get-MPPreference cmdlet을 사용해 규칙 상태와 성공적으로 적용되었는지 여부를 확인할 수 있다.

최소 30일 동안은 앞서 설명한 보호 방법을 전체 실행하는 것보다는 감사할 것을 권장한다. 감사 결과 문제가 없다고 판단되면 보호 수단을 완전히 전개할 수 있다. 언제나 그랬듯이 최종 사용자를 위해 어떤 보호 수단을 두고 있는지를 검토해야 한다. editor@itworld.co.kr


X