네ptune RAT 악성코드가 Windows에서: YouTube & Telegram 링크에 주의하세요

특집 이미지: Neptune RAT 악성코드가 Windows PC에 영향을 미칩니다.

Neptune RAT는 Windows 장치를 겨냥한 가장 교활한 악성코드 위협 중 하나입니다. YouTube와 Telegram과 같은 사이트를 활용하여 Windows Defender 및 기타 바이러스 백신 도구를 우회합니다. 그 영향을 받으면 파일이 랜섬웨어에 잠기고, 비밀번호가 도용되며, Windows 11 마스터 부트 레코드(MBR)가 삭제됩니다. 심각함에도 불구하고 Neptune RAT로부터 Windows 장치를 보호하는 것은 surprisingly 쉽습니다.

Neptune RAT이 위험한 이유

Neptune RAT 악성코드는 보안 회사 Cyfirma에 의해 처음 발견되었습니다. 여기서 “RAT”는 원격 액세스 트로이의 목마(Remote Access Trojans)의 약자입니다. 이는 열면 공격자가 멀리서 사용자의 컴퓨터를 제어할 수 있게 하는 파일입니다. 일반적으로 Windows는 이러한 시도를 차단합니다. 결국, 그것이 바이러스 백신 프로그램의 역할입니다.

그러나 Neptune RAT은 extremamente 교묘하여, 아랍어 단어와 이모지로 해로운 코드를 숨기고 방화벽, Windows Defender 및 기타 바이러스 백신 도구를 피해갑니다. 가상 머신(VM)을 사용하는지 여부도 감지합니다. 사용자 측에서는 두 개의 간단한 PowerShell 명령어를 호출하여 PC를 감염시킵니다:

irm (Invoke-RestMethod): GitHub와 같은 웹사이트에서 소프트웨어와 같은 콘텐츠를 가져옵니다.
iex (Invoke-Expression): 다운로드한 내용을 스크립트 프로그램으로 실행합니다.

PowerShell에서

어느 시점에 배치 스크립트가 Windows 폴더에 놓입니다. 그 후, 컴퓨터는 공격자의 서버에 연결됩니다.

이렇게 위험하고 지속적인 악성코드는 Windows에서 오랜만에 나타났습니다. 이 악성코드는 여러 DLL 파일을 사용하여 시스템을 엉망으로 만듭니다. 이들은 PC 데이터를 잠그고(랜섬웨어), Chrome 및 Brave 브라우저와 같은 270개 이상의 프로그램에서 비밀번호를 훔치고, 복사 및 붙여넣기 내용을 가로채고, 레지스트리 설정을 변경하고, 마스터 부트 레코드(MBR)를 지워버릴 수 있습니다.

가장 나쁜 점은? Neptune RAT는 현재 YouTube, GitHub, Telegram 및 기타 링크를 통해 확산되고 있다는 것입니다. 대부분의 사람들은 YouTube를 본능적으로 신뢰하며, 그 신뢰가 처음으로 무너졌습니다. 해커들이 “비디오 설명 아래 링크를 클릭하여 500달러를 받으세요”라는 비디오를 게시하고, 평범한 텍스트로 위장된 Neptune RAT 실행 파일을 제공하는 것이 이제 매우 쉬워졌습니다.

Neptune RAT 악성코드에 대한 해결책

Neptune RAT의 위험은 매우 많습니다. 이 악성코드는 모든 악성코드 분석 도구를 교묘히 피해가며, 파일 다운로드도 요구하지 않습니다. 큰 취약점에도 불구하고, Windows 사용자를 위한 해결책은 매우 간단합니다.

PowerShell을 아는 Windows 사용자용

PowerShell은 “제한 언어 모드(Constrained Language mode)”라는 기능을 제공하여 응용 프로그램이 기본적인 작업만 수행하도록 제한합니다. 지시를 받으면, irm 및 iex를 사용하여 웹 리소스에 더 이상 접근할 수 없게 되어 Neptune RAT를 차단합니다.

$ExecutionContext.SessionState.LanguageMode ="ConstrainedLanguage"

모든 PC 사용자에 대해 제한된 언어 설정을 강제 적용하려면 다음을 수행합니다:

Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

웹 명령을 피하기 위해 PowerShell을 제한된 언어 설정으로 변경하는 모습.

위의 설정을 되돌리려면 “전체 언어” 모드로 돌아가면 irm 및 iex cmdlet를 다시 다운로드할 수 있습니다.

$ExecutionContext.SessionState.LanguageMode ="FullLanguage"

Windows에서 적절한 해결책을 출시할 때까지는 이를 비활성화해 두는 것이 가장 좋습니다.

또 다른 옵션이 있습니다. PowerShell을 별로 사용하지 않는 경우 인터넷에 대한 PowerShell의 접근을 완전히 비활성화할 수 있습니다. 그 후 irm/iex 명령어를 실행하면 PowerShell에서 오류가 발생할 것입니다.

New-NetFirewallRule -Name "BlockPowerShellOutbound" -DisplayName "Block PowerShell Outbound" -Enabled True -Direction Outbound -Program "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" -Action Block

PowerShell에서 모든 아웃바운드 네트워크 연결을 차단하는 모습.

네트워크 수준 차단 규칙을 제거하려면 다음 명령어를 사용하세요:

Remove-NetFirewallRule -Name "BlockPowerShellOutbound"

온라인 활동을 위해 PowerShell을 사용할 수 없게 되는 것은 작은 불편함이지만, Neptune RAT의 위협의 심각성을 고려할 때, 이것이 가장 좋은 해결책이라고 생각합니다.

비기술적인 사용자용

Windows 컴퓨터에서 YouTube 또는 Telegram을 사용하는 경우 비디오 설명에서 링크를 클릭하지 않음으로써 Neptune RAT로부터 안전할 수 있습니다 – 비디오 제작자가 요청하더라도 말입니다. 그들은 할인 혜택을 제공하거나 보안 문제를 해결하겠다고 약속할 수 있습니다. 게임 또는 윤리적 해킹 비디오에서 많이 나타나지만, 영화 클립이나 다른 주제에서도 발견될 수 있습니다. 친구나 가족이 소셜 미디어에서 그 링크를 공유하더라도 알 수 없는 링크를 클릭하는 것을 중단해야 합니다.

Neptune RAT와 관련하여 일반 Windows 사용자에게 추천하는 다른 사항은 다음과 같습니다:

인증기 앱 사용: Windows 장치에서 인증기 앱은 민감한 계정에 접근하려는 침입자로부터 보호하는 가장 좋은 방법입니다.
엔드포인트 보안 솔루션 사용: Neptune RAT와 같은 파일리스 악성코드를 감지할 수 있는 유일한 방법은 Microsoft Defender와 같은 엔드포인트 보안 소프트웨어를 사용하는 것입니다. 이는 Windows 보안과는 다릅니다. 이들은 PowerShell에서 의심스러운 활동에 반응하는 데 훨씬 더 나은 성능을 발휘합니다.