교활한 Winos 4.0 맬웨어 변종은 사기성 NSIS 설치 프로그램을 악용하여 다단계 공격을 수행합니다.이 맬웨어는 Windows Defender 의 보안 설정까지 조작하여 예외를 발생시켜 작동할 여지를 제공합니다.이러한 행위의 심각한 결과로는 데이터 유출, 레지스트리 변조, 그리고 PC 활동에 대한 무단 감시 등이 있습니다.
Winos 4.0 맬웨어의 위험성 이해
Winos 4.0 맬웨어는 Gh0st RAT 에서 유래한 고급 악성 소프트웨어 계열입니다.”4.0″이라는 명칭은 특정 버전을 나타내는 것이 아니라, 1년 이상 존재해 온 더 넓은 범주 내에서의 분류를 나타냅니다.특히, Rapid7은 2025년 5월 22일 VPN과 브라우저 설치 프로그램을 사용하여 페이로드를 배포하는 Winos 4.0 변종을 공개했습니다.
이 악성코드는 손상된 실행 파일처럼 작동하는 가짜 NSIS 애플리케이션을 배포하여 연쇄 반응을 일으킵니다.설치 프로그램 이름은 QQBrowser_Setup_x64.exe 또는 Lets.15.0.exe 처럼 무해한 경우가 많으며, 사용자의 신뢰를 이용합니다.이러한 교활한 속임수 전술 때문에 Winos 4.0은 특히 위험합니다.설치 시 VBScript 실행기, PowerShell 로더, 악성 DLL, 구성 파일 등 추가 구성 요소를 은밀하게 설치합니다. Rapid7은 이 다단계 페이로드를 Catena 로더 라고 적절하게 지칭합니다.
Winos 4.0의 중요한 기능 중 하나는 페이로드를 보호하기 위해 제외 기능을 도입하는 자동 PowerShell 명령을 통해 지속성을 유지하는 기능입니다.놀랍게도 이 맬웨어는 활성화되기 전 몇 주 동안 잠복해 있다가 비밀번호, 암호화폐 정보를 수집하고, 스크린샷, 웹캠 피드, 마이크 오디오를 모니터링하면서 레지스트리를 조작할 수 있습니다.Remcos RAT 와 유사하게 메모리에서 완전히 작동하는 이 맬웨어는 디스크에 흔적을 남기지 않아 탐지를 피합니다.
설치자의 디지털 서명을 확인하는 방법
PC를 안전하게 보호하려면 설치 전에 애플리케이션의 디지털 서명을 꼼꼼히 확인하는 것이 매우 중요합니다.애플리케이션을 마우스 오른쪽 버튼으로 클릭하고 속성 -> 디지털 서명 으로 이동한 다음, 자세히 -> 인증서 보기를 클릭하여 설치 프로그램의 진위 여부를 확인하세요.
위의 이미지는 가짜 NSIS 설치 프로그램이 포함된 악성 변형이 있음에도 불구하고 QQBrowser의 디지털 서명은 해당 애플리케이션의 합법적인 개발자인 Tencent Technology의 유효한 서명을 포함하고 있음을 보여줍니다.
필수 Windows 보안 조치
Windows Defender를 속이는 Winos 4.0의 교활한 능력에도 불구하고 Windows 보안 앱에서는 방어를 강화하기 위해 취할 수 있는 여러 가지 조치가 있습니다.
NSIS 설치 프로그램 실행을 방지하려면 PowerShell을 관리자 모드로 실행하고 아래 명령을 실행하세요.이렇게 하면 전면적인 금지를 구현하지 않고도 공격 표면 영역(ASR)을 효과적으로 줄일 수 있습니다.
Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
다음으로 Windows 보안 애플리케이션에 접속하세요.‘바이러스 및 위협 방지 ‘ -> ‘바이러스 및 위협 방지 설정 ‘ -> ‘설정 관리’ 로 이동하여 실시간 보호가 활성화되어 있는지 확인하세요.
또한, 바이러스 및 위협 방지 아래에서 랜섬웨어 보호 관리 로 스크롤합니다.제어된 폴더 액세스가 비활성화되어 있으면 다시 활성화합니다.또한, “제어된 폴더 액세스를 통해 앱 허용” 옵션을 통해 신뢰할 수 있는 애플리케이션을 허용 목록에 추가할 수 있습니다.
이러한 기본적인 Windows 보안 보호 기능을 구현하는 것이 효과적인 최전선 방어선입니다.고급 사용자는 방화벽 설정을 강화하여 Windows 4.0 악성코드를 특별히 차단하는 것도 고려해 볼 수 있습니다.
Windows Defender에서 Winos 4.0이 제외 항목을 만드는 것을 방지하는 방법
Winos 4.0이 사용하는 교활한 전략 중 하나는 Windows Defender 검사 프로토콜 내에 제외 항목을 설정하는 것입니다.이러한 위협을 막기 위해 사전 조치를 취할 수 있습니다.
PowerShell을 관리자 모드로 열고 아래 명령을 사용하여 유해한 스크립트를 제한하는 실행 정책을 추가하세요.확인을 위해 A를 플래시하세요.
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted
모든 드라이브에서 승인되지 않은 제외를 제한하려면 PowerShell에서 다음 명령을 실행합니다.
Remove-MpPreference -ExclusionPath C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\, L:\, M:\, N:\, O:\, P:\, Q:\, R:\, S:\, T:\, U:\, V:\, W:\, X:\, Y:\, Z:
자동 실행을 사용하여 가짜 NSIS 항목 감지
Autoruns 라는 Microsoft 도구를 사용하면 의심스러운 NSIS 항목을 포함한 원치 않는 시작 프로그램을 추적하는 데 도움이 될 수 있습니다.이 방법은 Winos 4.0을 식별하고 실행을 방지하는 가장 효과적인 방법 중 하나입니다.
Sysinternals 웹페이지 에서 Autoruns ZIP 파일을 다운로드하세요.설치는 필요하지 않습니다.파일 압축을 풀고 Autoruns64 (Windows 64 시스템의 경우)를 두 번 클릭하면 됩니다.활성 로그온, 예약된 작업 및 프로세스에 대한 개요를 볼 수 있습니다.빨간색으로 표시된 항목을 찾고, 강조 표시된 NSIS 관련 항목을 주의 깊게 모니터링하세요.
합법적인 Windows 앱 설치 프로그램은 의심을 받지 않는 경우가 많습니다. SmartScreen (활성화되어 있어야 함)을 탐색 하고 Windows 보안 검사를 통과하면 사용자는 이러한 애플리케이션이 안전하다고 생각하는 경우가 많습니다.이러한 가정은 Windows 4.0 맬웨어의 온상이 됩니다.스크립트 실행을 제한하여 PowerShell 창을 강력하게 보호하면 방어력을 크게 향상시킬 수 있습니다. VirusTotal과 같은 서비스를 활용하여 설치 프로그램 패키지를 분석하여 잠재적인 맬웨어 위협을 파악하세요.
자주 묻는 질문
1. Winos 4.0 맬웨어는 무엇이고 어떻게 내 시스템을 감염시키나요?
Winos 4.0은 Gh0st RAT에서 파생된 고급 악성코드로, 일반적으로 합법적인 애플리케이션으로 위장한 사기성 NSIS 설치 프로그램을 통해 시스템을 감염시킵니다.설치되면 다단계 공격을 실행하여 데이터 유출 및 감시로 이어질 수 있습니다.
2. Winos 4.0 맬웨어로부터 내 컴퓨터를 보호하려면 어떻게 해야 하나요?
모든 설치 프로그램의 디지털 서명을 확인하고, Windows 보안 보호 기능을 활성화하고, Windows Defender에서 무단 제외를 방지하고, Autoruns와 같은 도구를 사용하여 의심스러운 항목을 감지하여 컴퓨터를 보호하세요.
3.내 컴퓨터가 맬웨어에 감염되었을 때 나타나는 징후는 무엇인가요?
감염 징후로는 비정상적인 시스템 속도 저하, 시작 시 인식되지 않는 프로그램, 설치된 애플리케이션의 예기치 않은 동작, 또는 잦은 시스템 충돌 등이 있습니다.감염이 의심되는 경우, 신뢰할 수 있는 바이러스 백신 소프트웨어로 즉시 시스템을 검사하는 것이 중요합니다.
답글 남기기