기술을 쉽게 설명하기

Remcos RAT 악성코드: 파일 없는 공격에 대한 PowerShell 보호하기

특징 이미지: Remcos RAT 바이러스가 Windows 장치에 영향을 미치는 것을 방지합니다.

Windows 사용자는 Remcos 원격 액세스 트로이 목마(RAT)에 대해 높은 경계를 유지해야 합니다. 이 악성코드는 피싱을 통해 다운로드 없이 매우 은밀한 페이로드를 배포합니다. 악성 ZIP 링크를 한 번만 부주의하게 클릭하면 RAT가 작동을 시작하고 PowerShell을 통해 HTML 애플리케이션을 실행합니다. 그 후에는 스크린샷을 캡처하고, 키 입력을 기록하며, 시스템을 완전히 제어할 수 있습니다.

Remcos RAT 및 기타 파일 없는 공격으로부터 PowerShell을 보호하는 방법은 다음과 같습니다.

Remcos RAT가 PowerShell을 탈취하여 시스템을 장악하는 방법

보안 회사 Qualys는 Remcos RAT 공격의 간단함을 밝혔습니다. 피해자는 실제 문서처럼 위장된 LNK 파일이 포함된 ZIP 파일을 받습니다. 2025년 5월 현재 공격자는 세금 테마의 피싱 이메일을 사용하고 있지만, 향후 변형은 링크를 클릭하도록 속이는 어떤 것이든 사용할 수 있습니다.

LNK 파일을 열면 mshta.exe(마이크로소프트 HTML 애플리케이션 호스트)라는 Windows 애플리케이션이 활성화됩니다. 다음으로, “24.ps1”과 같은 PowerShell 스크립트가 실행되어 Remcos RAT 페이로드를 실시간으로 실행하는 셸코드 로더를 시작합니다. 이 공격은 디스크에 파일을 저장하지 않고 완전히 메모리에서 작동합니다.

또한 Microsoft Defender 안티바이러스는 공격자가 원격 TLS 연결을 생성하는 동안 개입할 수 없습니다. 현재 공격자는 “ReadyRestaurants DOT com”이라는 명령 서버에 연결하고 있습니다. Google Chrome에서는 “안전하지 않음”으로 표시됩니다. 그러나 이는 미래에 변경될 수 있습니다.

중요: Windows PowerShell은 사이버 범죄자들이 탐지되지 않는 은밀한 공격을 수행하는 데 선호하는 도구가 되었습니다. 지난달에는 Neptune RAT 악성코드에서 이를 보았습니다. 이 악성코드는 먼저 파일을 다운로드해야 했습니다.

PowerShell에서 Remcos RAT의 실행 방지하기

먼저, 관리자 모드에서 PowerShell을 실행합니다. 그 후, 제한 모드 또는 제한 해제 모드인지 확인합니다.

Get-ExecutionPolicy

장치가 제한으로 설정되어 있다면(일반적으로 기본값), 다음 단계로 넘어갑니다. 그렇지 않다면, 먼저 제한 해제에서 제한으로 다시 전환합니다. 변경 사항을 확인하라는 메시지가 표시되면 A를 클릭합니다.

Set-ExecutionPolicy Restricted

PowerShell에서 모든 사용자에 대해

위의 변경 사항을 구현한 후, Qualys의 권장 사항을 따르고 PowerShell을 제한된 언어 모드로 설정합니다. 이는 Remcos RAT 및 유사한 악성코드가 자주 악용하는 민감한 .NET 메서드 및 COM 객체에 대한 접근을 차단합니다.

$ExecutionContext.SessionState.LanguageMode ="ConstrainedLanguage"

최상의 효과를 위해 이 설정이 비관리자 사용자도 포함하여 모든 사용자에게 적용되도록 하십시오. PC를 사용하는 유일한 사용자라 하더라도 말입니다.

Set-ExecutionPolicy-Scope LocalMachine -ExecutionPolicy Restricted -Force

PowerShell에서

Qualys는 또한 의심스러운 PowerShell 명령줄 인수를 차단할 것을 권장합니다. 이는 Remcos RAT 공격의 HTA 파일과 같은 숨겨진 스크립트가 사용자의 PowerShell 창에서 실행되는 것을 방지합니다.

Remcos RAT가 PowerShell 셸코드를 활용하므로 이러한 명령을 감지할 수 있는 방법이 있습니다. PC에 이미 존재하지 않는 경우, “PowerShell” 및 “ScriptBlockLogging”에 대한 누락된 레지스트리 경로를 수동으로 생성해야 할 수 있습니다.

New-Item-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell"-Force  
New-Item-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"-Force  
Set-ItemProperty-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"-Name"EnableScriptBlockLogging"-Value1

PowerShell에서

이제 “ScriptBlockLogging” 명령을 활성화하고 값을 1로 설정합니다. 이는 Remcos RAT 및 기타 악성코드가 PowerShell에서 셸코드 로더를 실행하는 것을 방지합니다.

Set-ItemProperty-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"-Name"EnableScriptBlockLogging"-Value1

PowerShell에서

숨겨진 스크립트를 사용하여 의심스러운 명령줄 인수를 차단하는 또 다른 관련 명령이 있습니다.

New-Item-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell"-Name"CommandLineFiltering"-Force  
Set-ItemProperty-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering"-Name"EnableCommandLineFiltering"-Value1

PowerShell에서

알아두면 좋은 점: PowerShell에서 AI 생성 스크립트의 최근 증가는 악성코드 작성자가 시스템을 대상으로 하는 새로운 스크립트를 쉽게 생성할 수 있는 큰 요인이 되었습니다.

참고: 일부 웹사이트에서는 비관리자 사용자에 대해 PowerShell을 비활성화할 것을 제안합니다. 비관리자 Windows 계정을 사용하는 것에는 많은 장점이 있기 때문에 우리는 그 정도까지 가지 않을 것입니다. 예를 들어, 이는 NT LAN Manager (NTLM)와 같은 로그인 자격 증명을 도용하는 사이버 위협으로부터 보호합니다.

Remcos RAT의 실행을 방지하기 위해 MSHTA.exe 비활성화하기

Remcos RAT는 Windows PC에서 “mshta.exe”라는 일반 시스템 애플리케이션을 사용합니다. 이 파일은 “C:\Windows\System32”에 위치합니다.

요즘 mshta.exe를 비활성화하는 것은 전혀 문제가 되지 않습니다. 이는 Internet Explorer와 같은 레거시 애플리케이션이나 Office 매크로 파일을 제외하고는 거의 사용되지 않습니다. Windows 11 버전 24H2 이후로는 완전히 사용 중지되었습니다.

System32 폴더에서 mshta.exe 애플리케이션 파일 보기.

mshta.exe는 HTML 애플리케이션(HTA) 파일을 실행하므로 VBScript 또는 JavaScript를 브라우저 외부에서 전체 시스템 권한으로 실행하는 데 사용됩니다.

Windows 11 Pro에서는 실행 명령에 gpedit.msc를 입력하여 로컬 그룹 정책 편집기로 이동합니다. 다음 경로로 이동합니다: 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 소프트웨어 제한 정책.

Windows 11 Pro의 로컬 그룹 정책 편집기에서

정책이 존재하지 않으면, 마우스 오른쪽 버튼을 클릭하여 새 소프트웨어 제한 정책을 선택하여 새 보안 정책을 생성합니다. 생성된 후, 추가 규칙에서 마우스 오른쪽 버튼을 클릭하고 새 경로 규칙을 선택합니다.

그룹 정책 보안 설정에서

이 경로의 이름을 C:\Windows\System32\mshta.exe로 변경합니다. 보안 수준을 허용되지 않음으로 설정하고 적용 -> 확인을 클릭합니다.

Windows 11/10 Home 장치에서는 그룹 정책 편집기가 없으므로 다른 방법이 있습니다. Windows 보안을 실행하고 앱 및 브라우저 제어 -> 익스플로잇 보호 -> 익스플로잇 보호 설정 -> 프로그램 설정으로 이동합니다. 여기에서 사용자 지정할 프로그램 추가를 클릭합니다.

Windows 11 Home에서 익스플로잇 보호 아래

위의 방법은 두 가지 옵션을 보여줍니다. 정확한 파일 경로 선택을 클릭합니다. 파일 탐색기 창이 열립니다. mshta.exe 파일 위치로 이동하면 다른 팝업 창이 열립니다.

이제 시스템 예방 조치를 무시하는 모든 mshta.exe 정책을 끄기만 하면 됩니다. 이미 꺼져 있다면 아무것도 할 필요가 없습니다.

Windows 보안에서 모든 mshta.exe 정책 끄기.

관련: Windows 보안이 장치에서 작동하지 않는 문제를 해결합니다.

PowerShell에서 원격 악용을 방지하기 위한 기타 방법

Remcos RAT 및 기타 원격 악용이 PowerShell에서 실행되는 것을 방지하기 위해 할 수 있는 다른 방법은 다음과 같습니다.

  • Microsoft Defender와 같은 Windows 엔드포인트 보호 소프트웨어에 투자하십시오. 이는 Windows 보안과는 다른 제품입니다.
  • 시스템을 정기적으로 업데이트하고 패치하십시오. Windows 11의 24H2 버전으로 마이그레이션하면 이러한 최신 위협에 대한 적시 패치를 받을 수 있습니다.
  • Windows 장치에서 사용하는 웹 브라우저 이메일에 이메일 필터링 및 피싱 보호를 구현하십시오.

내용

  1. Remcos RAT가 PowerShell을 탈취하여 시스템을 장악하는 방법
  2. PowerShell에서 Remcos RAT의 실행 방지하기
  3. Remcos RAT의 실행을 방지하기 위해 MSHTA.exe 비활성화하기
  4. PowerShell에서 원격 악용을 방지하기 위한 기타 방법
Ello-dashboardprofile

Ello: 개인 소셜 네트워크 탐험하기

비트디펜더 설치 안됨: 사용할 수 있는 3가지 간단한 솔루션

비트디펜더 수정 사항에 대한 더 많은 정보

구글, 인박스를 종료하고 6개월의 생명을 부여하다

aspect-ratios-16x9

비디오 종횡비 이해하기

태그로 파일을 정리하는 파일 관리자: 상위 5개

Wake on LAN 작동하지 않음 수정

윈도우에서 Wake On LAN이 작동하지 않음 [해결됨]

easycap-mac-mspacman-console

EasyCAP을 사용하여 Mac에서 VHS 및 콘솔 캡처하기

구글, 윈도우 11 업그레이드 자격을 위한 새로운 크롬 기능 테스트