V3 Lite 4.0/V3 365 Clinic 4.0 제품은 Microsoft 에서 제공하는 AMSI(Anti-Malware Scan Interface) 를 통해 JavaScript, VBScript, Powershell 등 난독화된 스크립트를 탐지하는 기능이 새롭게 추가 되었다.
AMSI(Anti-Malware Scan Interface) 는 응용 프로그램 및 서비스를 백신 제품과 통합 할 수 있는 다목적 인터페이스의 표준으로 공식 문서에서 설명되어 있으며, 아래 [표 1] 에 해당하는 Windows 10의 구성요소에 통합되어 있다.
Microsoft AMSI 문서 : https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
| – User Account Control, or UAC (elevation of EXE, COM, MSI, or ActiveX installation) – PowerShell (scripts, interactive use, and dynamic code evaluation) – Windows Script Host (wscript.exe and cscript.exe) – JavaScript and VBScript – Office VBA macros |
이러한 AMSI(Anti-Malware Scan Interface) 기능을 활용하면 난독화된 스크립트를 효과적으로 탐지 할 수 있다.
아래 그림은 하기 블로그에 분석된 BlueCrab(=Sodinokibi) 랜섬웨어이다. 해당 랜섬웨어의 유포 자바스크립트를 대상으로 AMSI(Anti-Malware Scan Interface)를 활용하면 보다 효과적인 탐지가 가능하다.
위 블로그에 설명된 BlueCrab 유포 스크립트는 [그림 1]과 같이 난독화된 스크립트 이다. 해당 스크립트는 실행시 디코딩 과정을 수행하여 추가 자바스크립트 및 파워쉘 스크립트를 실행한다. 디코딩된 스크립트는 파일 생성 과정 없이 메모리에서 실행되기 때문에 패턴을 통한 탐지가 어렵다.
하지만 AMSI(Anti-Malware Scan Interface) 를 통해 확인 가능한 데이터를 이용하면 [그림 2], [그림 3], [그림4] 와 같은 스크립트를 데이터 추출이 가능하고 탐지 및 차단에 활용할 수 있다.
V3 Lite 4.0/V3 365 Clinic 4.0 제품에 새롭게 추가된 AMSI 기능을 통해서 다음과 같이 BlueCrab 랜섬웨어의 스크립트 탐지 및 차단이 가능하다.
[파일 진단]
Ransomware/JS.BlueCrab.S1413 (AMSI)
Ransomware/Powershell.BlueCrab.S1414 (AMSI)
Ransomware/Powershell.BlueCrab.S1415 (AMSI)
[메모리 진단]
Ransomware/Win.BlueCrab.XM37
Ransomware/Win.BlueCrab.XM63
[행위 진단]
Malware/MDP.Inject.M3044
Malware/MDP.Behavior.M3491
Malware/MDP.Behavior.M3544
Categories:악성코드 정보