Windows 用户需要对 Remcos 远程访问木马 (RAT) 保持警惕。这种复杂的恶意软件采用隐秘技术,通过网络钓鱼攻击渗透系统,无需任何下载。只需轻点一个恶意 ZIP 文件,RAT 就会被激活,并通过 PowerShell 执行 HTML 应用程序。一旦进入系统,它就能接管系统、截取屏幕截图、记录键盘输入并获得完全控制权。
本指南旨在提供实用措施,保护您的 PowerShell 免受 Remcos RAT 和其他类似的无文件恶意软件攻击。
了解 Remcos RAT:威胁态势
Remcos RAT 的攻击方法简单得令人担忧。据Qualys称,受害者会收到包含 LNK 文件(伪装成文档的 Windows 快捷方式)的 ZIP 文件。目前,诈骗者利用以税务为主题的网络钓鱼邮件,但未来的威胁可能会采用任何伪装来欺骗用户。
打开 LNK 文件后,会触发 mshta.exe(Microsoft HTML 应用程序主机),进而执行 PowerShell 脚本(例如“24.ps1”)。这会启动 shellcode 加载器来运行 Remcos RAT 负载,完全从内存中操纵系统,而不会在磁盘上留下任何痕迹。
注意: PowerShell 已经成为针对 Windows 用户的网络犯罪分子的首选武器,利用其在不被发现的情况下执行命令的能力。
在 PowerShell 中阻止 Remcos RAT 的有效策略
首先以管理员权限启动 PowerShell。确定您的执行策略当前是否允许不受限制或受限的访问至关重要。
Get-ExecutionPolicy
如果您的配置显示“受限”(典型的默认设置),请继续执行以下步骤。如果显示“不受限”,请先在出现提示时确认,将其恢复为“受限”。
Set-ExecutionPolicy Restricted
建立受限环境后,建议按照 Qualys 的建议,在 PowerShell 中设置“受限语言模式”。这将进一步限制对敏感的. NET 方法和 COM 对象的访问,避免 Remcos RAT 及其同类恶意软件可能利用这些方法和对象。
$ExecutionContext. SessionState. LanguageMode = "ConstrainedLanguage"
通过强制执行本地计算机范围,确保此实现适用于所有用户。 Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force
接下来,为了增强防御能力,请在 PowerShell 中阻止可疑的命令行参数。这种主动方法可以阻止隐藏的前体脚本执行,例如与 Remcos RAT 攻击相关的 HTA 文件。
由于 Remcos RAT 使用了 PowerShell 的 shellcode,因此创建“PowerShell”和“ScriptBlockLogging”缺失的注册表项至关重要。具体方法如下:
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
将“ScriptBlockLogging”命令的值设置为1后,您将有效阻止 Remcos RAT 和类似的恶意软件在 PowerShell 环境中执行 shellcode 加载器。
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
接下来,重点对通过隐藏脚本执行的可疑命令行参数进行过滤:
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1
禁用 MSHTA.exe:对抗 Remcos RAT 的关键策略
Remcos RAT 经常利用 mshta.exe,这是一款位于 的核心 Windows 应用程序C:\Windows\System32。虽然它通常是无害的,但随着 Windows 11 版本 24H2 的出现,该应用程序几乎不再需要,可以安全地禁用。
mshta.exe 用于执行 HTML 应用程序 (HTA) 文件,这些文件可以以提升的系统权限运行 VBScript 或 JavaScript。如果您使用的是 Windows 11 专业版,请gpedit.msc通过“运行”命令输入以访问本地组策略编辑器。导航至以下路径:计算机配置-> Windows 设置->安全设置->软件限制策略。
如果没有预先存在的策略,您可以右键单击“添加新策略”,选择“新建软件限制策略”来创建一个。在“附加规则”下,选择“新建路径规则”。
输入C:\Windows\System32\mshta.exe作为路径,并将其安全级别指定为“不允许”。然后单击“应用”,再单击“确定”。
对于缺少组策略编辑器的 Windows 11/10 家庭版用户,您也可以使用 Windows 安全中心。前往“应用和浏览器控制”->“漏洞利用保护” -> “漏洞利用保护设置” -> “程序设置”。然后点击“添加要自定义的程序”。
选择“选择确切文件路径”选项,导航到 mshta.exe 文件所在位置。打开后,您将看到一个弹出窗口。
在这里,请确保关闭所有覆盖默认系统安全措施的 mshta.exe 策略。如果这些设置已显示为禁用,则无需进一步操作。
确保 PowerShell 安全的附加安全措施
为了增强对 Remcos RAT 和其他恶意攻击的防御能力,请考虑采取以下额外的预防措施:
- 定期更新:始终保持 Windows 操作系统和应用程序更新到最新版本,因为补丁程序通常可以解决漏洞。
- 启用实时保护:确保您的防病毒软件(如 Microsoft Defender)始终处于活动状态并处于实时保护模式。
- 教育用户:在访问您的系统的用户中推广识别网络钓鱼企图和谨慎浏览行为的重要性的培训。
- 网络监控:使用工具进行持续的网络监控,以检测可能表明 RAT 感染的异常活动。
- 备份:定期备份您的数据以减少潜在攻击的影响并随时准备恢复计划。
通过采用这些策略,您可以保护您的 PowerShell 免受 Remcos RAT 和其他新兴威胁的侵害。
常见问题
1.什么是 Remcos RAT 以及它是如何运作的?
Remcos RAT 是一种远程访问木马,它通过网络钓鱼攻击秘密渗透系统,无需下载即可执行进程。它通过利用 mshta.exe 运行 PowerShell 脚本来捕获敏感信息并控制设备。
2.如何防止 Remcos RAT 访问我的系统?
实施安全措施,例如将 PowerShell 执行策略设置为“受限”,启用“受限语言模式”,以及禁用 mshta.exe。此外,请保持系统更新,并向用户宣传网络钓鱼风险。
3.禁用 mshta.exe 安全吗?
是的,强烈建议禁用 mshta.exe,因为它在现代应用程序中已不再常用。禁用它可以显著降低被 Remcos RAT 等恶意软件利用的风险。
发表回复 ▼