V3 제품에 적용된 AMSI (Anti-Malware Scan Interface) 활용 난독화 스크립트 탐지

V3 Lite 4.0/V3 365 Clinic 4.0 제품은 Microsoft 에서 제공하는 AMSI(Anti-Malware Scan Interface) 를 통해 JavaScript, VBScript, Powershell 등 난독화된 스크립트를 탐지하는 기능이 새롭게 추가 되었다.

AMSI(Anti-Malware Scan Interface) 는 응용 프로그램 및 서비스를 백신 제품과 통합 할 수 있는 다목적 인터페이스의 표준으로 공식 문서에서 설명되어 있으며, 아래 [표 1] 에 해당하는 Windows 10의 구성요소에 통합되어 있다.

Microsoft AMSI 문서 : https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal

– User Account Control, or UAC (elevation of EXE, COM, MSI, or ActiveX installation)
– PowerShell (scripts, interactive use, and dynamic code evaluation)
– Windows Script Host (wscript.exe and cscript.exe)
– JavaScript and VBScript
– Office VBA macros
[표 1] AMSI와 통합되는 Windows 구성 요소

이러한 AMSI(Anti-Malware Scan Interface) 기능을 활용하면 난독화된 스크립트를 효과적으로 탐지 할 수 있다.

아래 그림은 하기 블로그에 분석된 BlueCrab(=Sodinokibi) 랜섬웨어이다. 해당 랜섬웨어의 유포 자바스크립트를 대상으로 AMSI(Anti-Malware Scan Interface)를 활용하면 보다 효과적인 탐지가 가능하다.

위 블로그에 설명된 BlueCrab 유포 스크립트는 [그림 1]과 같이 난독화된 스크립트 이다. 해당 스크립트는 실행시 디코딩 과정을 수행하여 추가 자바스크립트 및 파워쉘 스크립트를 실행한다. 디코딩된 스크립트는 파일 생성 과정 없이 메모리에서 실행되기 때문에 패턴을 통한 탐지가 어렵다.

하지만 AMSI(Anti-Malware Scan Interface) 를 통해 확인 가능한 데이터를 이용하면 [그림 2], [그림 3], [그림4] 와 같은 스크립트를 데이터 추출이 가능하고 탐지 및 차단에 활용할 수 있다.

[그림 1] 난독화된 자바스크립트
[그림 2] 동적으로 실행되는 첫번째 스크립트(AMSI 데이터)
[그림 3] 동적으로 실행되는 두번째 스크립트 (AMSI 데이터)
[그림 4] 동적으로 실행되는 파워쉘 스크립트 (AMSI 데이터)

V3 Lite 4.0/V3 365 Clinic 4.0 제품에 새롭게 추가된 AMSI 기능을 통해서 다음과 같이 BlueCrab 랜섬웨어의 스크립트 탐지 및 차단이 가능하다.

[그림 5] BlueCrab 자바 스크립트 차단(AMSI)
[그림 6] BlueCrab 파워쉘 스크립트 차단(AMSI)

[파일 진단]
Ransomware/JS.BlueCrab.S1413 (AMSI)
Ransomware/Powershell.BlueCrab.S1414 (AMSI)
Ransomware/Powershell.BlueCrab.S1415 (AMSI)

[메모리 진단]
Ransomware/Win.BlueCrab.XM37
Ransomware/Win.BlueCrab.XM63

[행위 진단]
Malware/MDP.Inject.M3044
Malware/MDP.Behavior.M3491
Malware/MDP.Behavior.M3544

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments