윈도우 사용자는 Remcos 원격 접속 트로이 목마(RAT)에 대한 경계 태세를 유지해야 합니다.이 정교한 악성코드는 피싱 공격을 통해 시스템에 침투하는 은밀한 기법을 사용하므로 다운로드가 필요 없습니다.악성 ZIP 파일을 무분별하게 한 번 클릭하기만 해도 RAT가 활성화되어 PowerShell을 통해 HTML 애플리케이션을 실행합니다.일단 침투하면 시스템을 장악하고, 스크린샷을 캡처하고, 키 입력을 기록하고, 완전한 제어권을 획득할 수 있습니다.
이 가이드는 PowerShell을 Remcos RAT 및 기타 유사한 파일리스 맬웨어 공격으로부터 보호하기 위한 실용적인 조치를 제공하는 것을 목표로 합니다.
Remcos RAT 이해: 위협 환경
Remcos RAT 공격 방식은 우려스러울 정도로 간단합니다.Qualys 에 따르면, 피해자는 LNK 파일(문서로 위장한 윈도우 바로가기)이 포함된 ZIP 파일을 받습니다.현재 사기꾼들은 세금 관련 피싱 이메일을 악용하지만, 앞으로는 사용자를 속이기 위해 어떤 형태로든 위장할 수 있는 위협이 등장할 수 있습니다.
LNK 파일을 열면 mshta.exe(Microsoft HTML Application Host)가 실행되고, “24.ps1″과 같은 PowerShell 스크립트가 실행됩니다.이 스크립트는 Remcos RAT 페이로드를 실행하는 셸코드 로더를 실행하여 디스크에 흔적을 남기지 않고 메모리에서 시스템을 완전히 조작합니다.
주의: PowerShell은 감지되지 않고 명령을 실행하는 기능을 활용하여 Windows 사용자를 표적으로 삼는 사이버 범죄자들이 선호하는 무기로 발전했습니다.
PowerShell에서 Remcos RAT를 차단하는 효과적인 전략
먼저 관리자 권한으로 PowerShell을 실행하세요.실행 정책이 현재 무제한 또는 제한된 액세스를 허용하는지 확인하는 것이 중요합니다.
Get-ExecutionPolicy
구성이 “제한됨”(일반적인 기본값)으로 표시되면 다음 단계로 진행하세요.”제한 없음”으로 표시되면 먼저 메시지가 표시되면 확인하여 “제한됨”으로 되돌리세요.
Set-ExecutionPolicy Restricted
제한된 환경을 설정한 후에는 Qualys에서 권장하는 PowerShell의 제한된 언어 모드를 설정하는 것이 좋습니다.이렇게 하면 Remcos RAT 및 유사 프로그램이 악용할 수 있는 민감한. NET 메서드와 COM 객체에 대한 접근이 더욱 제한됩니다.
$ExecutionContext. SessionState. LanguageMode = "ConstrainedLanguage"
로컬 머신 범위를 적용하여 이 구현이 모든 사용자에게 적용되는지 확인하세요. Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force
다음으로, 방어력을 강화하기 위해 PowerShell 내에서 의심스러운 명령줄 인수를 차단하세요.이러한 사전 예방적 접근 방식은 Remcos RAT 공격과 관련된 HTA 파일과 같은 숨겨진 선행 스크립트의 실행을 차단할 수 있습니다.
Remcos RAT는 PowerShell 셸코드를 사용하므로 “PowerShell” 및 “ScriptBlockLogging”에 대한 레지스트리 항목을 생성하는 것이 필수적일 수 있습니다.방법은 다음과 같습니다.
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
“ScriptBlockLogging” 명령을 값 1 로 설정하면 Remcos RAT 및 유사한 맬웨어가 PowerShell 환경에서 셸코드 로더를 실행하는 것을 효과적으로 방지할 수 있습니다.
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
다음으로, 숨겨진 스크립트를 통해 실행되는 의심스러운 명령줄 인수에 대한 필터링을 적용하는 데 중점을 둡니다.
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1
MSHTA.exe 비활성화: Remcos RAT에 대한 핵심 전략
Remcos RAT는 종종.에서 찾을 수 있는 핵심 Windows 애플리케이션인 mshta.exe를 사용합니다 C:\Windows\System32.일반적으로는 문제가 없지만, Windows 11 버전 24H2가 출시되면서 이 애플리케이션은 더 이상 필요하지 않으며 안전하게 비활성화할 수 있습니다.
mshta.exe는 HTML 애플리케이션(HTA) 파일을 실행하도록 설계되었으며, 이 파일은 높은 시스템 권한으로 VBScript 또는 JavaScript를 실행할 수 있습니다. Windows 11 Pro를 사용하는 경우 gpedit.msc실행 명령을 통해 로컬 그룹 정책 편집기에 액세스하세요.다음 경로로 이동하세요.컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 소프트웨어 제한 정책.
기존 정책이 없는 경우, 마우스 오른쪽 버튼을 클릭하여 새 정책을 추가하고 ‘ 새 소프트웨어 제한 정책’을 선택하여 정책을 만들 수 있습니다.‘추가 규칙’ 에서 ‘ 새 경로 규칙’을 선택합니다.
C:\Windows\System32\mshta.exe경로에 ‘입력’을 입력 하고 보안 수준을 ‘허용 안 함’ 으로 지정합니다.그런 다음 ‘적용’을 클릭한 후 ‘확인’을 클릭 합니다.
그룹 정책 편집기가 없는 Windows 11/10 Home 사용자의 경우 Windows 보안을 사용할 수 있습니다.앱 및 브라우저 컨트롤 -> Exploit Protection -> Exploit Protection 설정 -> 프로그램 설정 으로 이동합니다.프로그램 추가를 클릭하여 사용자 지정합니다.
mshta.exe 파일 위치로 이동하려면 “정확한 파일 경로 선택” 옵션을 선택하세요.해당 옵션을 열면 팝업 창이 나타납니다.
여기에서 기본 시스템 보안 조치를 무시하는 모든 mshta.exe 정책을 해제하세요.이러한 설정이 이미 비활성화된 것으로 표시되어 있다면 추가 조치가 필요하지 않습니다.
PowerShell 보안을 유지하기 위한 추가 보안 조치
Remcos RAT 및 기타 악성 공격에 대한 방어력을 강화하려면 다음과 같은 추가 예방 조치를 고려하세요.
- 정기 업데이트: 패치를 통해 취약점을 해결하는 경우가 많으므로 Windows 운영 체제와 애플리케이션을 항상 최신 버전으로 업데이트하세요.
- 실시간 보호 활성화: Microsoft Defender와 같은 바이러스 백신 소프트웨어가 항상 활성화되어 있고 실시간 보호 모드에 있는지 확인하세요.
- 사용자 교육: 시스템에 액세스하는 사용자에게 피싱 시도를 식별하는 방법과 신중한 검색 행동의 중요성에 대한 교육을 장려합니다.
- 네트워크 모니터링: RAT 감염을 나타낼 수 있는 비정상적인 활동을 감지하기 위해 지속적인 네트워크 모니터링 도구를 활용합니다.
- 백업: 잠재적인 공격의 영향을 줄이기 위해 정기적으로 데이터를 백업하고 복구 계획을 대기 상태로 유지하세요.
이러한 전략을 사용하면 PowerShell 사용을 Remcos RAT 및 기타 새로운 위협으로부터 보호할 수 있습니다.
자주 묻는 질문
1. Remcos RAT는 무엇이고 어떻게 작동하나요?
Remcos RAT는 피싱 공격을 통해 시스템에 은밀하게 침투하여 다운로드 없이 프로세스를 실행하는 원격 액세스 트로이 목마입니다.mshta.exe를 악용하여 PowerShell 스크립트를 실행하여 민감한 정보를 수집하고 기기를 제어할 수 있습니다.
2. Remcos RAT가 내 시스템에 접근하는 것을 어떻게 방지할 수 있나요?
PowerShell 실행 정책을 제한으로 설정하고, 제한된 언어 모드를 활성화하고, mshta.exe를 비활성화하는 등의 보안 조치를 구현하세요.또한, 시스템을 최신 상태로 유지하고 사용자에게 피싱 위험에 대해 알리세요.
3.mshta.exe를 비활성화해도 안전한가요?
네, mshta.exe는 최신 애플리케이션에서 더 이상 일반적으로 사용되지 않으므로 비활성화하는 것이 좋습니다.비활성화하면 Remcos RAT와 같은 맬웨어의 악용 위험을 크게 줄일 수 있습니다.
답글 남기기