Schützen Sie Ihre PowerShell vor dateilosen Angriffen durch die Remcos RAT-Malware

Schützen Sie Ihre PowerShell vor dateilosen Angriffen durch die Remcos RAT-Malware

Windows-Nutzer müssen vor dem Remcos Remote Access Trojan (RAT) auf der Hut sein. Diese hochentwickelte Schadsoftware nutzt versteckte Techniken, um Systeme über Phishing-Angriffe zu infiltrieren, ohne dass Downloads erforderlich sind. Ein einziger unüberlegter Klick auf eine schädliche ZIP-Datei genügt, und der RAT wird aktiviert und führt HTML-Anwendungen über PowerShell aus. Einmal im System, kann er Systeme übernehmen, Screenshots erstellen, Tastatureingaben protokollieren und die volle Kontrolle erlangen.

Dieses Handbuch soll praktische Maßnahmen zum Schutz Ihrer PowerShell vor Remcos RAT und anderen ähnlichen dateilosen Malware-Angriffen bereitstellen.

Remcos RAT verstehen: Die Bedrohungslandschaft

Die Angriffsmethode von Remcos RAT ist beunruhigend einfach. Laut Qualys erhalten Opfer ZIP-Dateien mit LNK-Dateien – als Dokumente getarnte Windows-Verknüpfungen. Betrüger nutzen derzeit Phishing-E-Mails mit Steuermotiven, doch zukünftige Bedrohungen könnten jede erdenkliche Form annehmen, um Nutzer zu täuschen.

Beim Öffnen der LNK-Datei wird mshta.exe (Microsoft HTML Application Host) gestartet, das wiederum ein PowerShell-Skript wie „24.ps1“ ausführt. Dadurch wird ein Shellcode-Loader gestartet, der die Remcos RAT-Nutzlast ausführt und Ihr System vollständig aus dem Speicher heraus manipuliert, ohne Spuren auf der Festplatte zu hinterlassen.

Achtung: PowerShell hat sich zu einer bevorzugten Waffe für Cyberkriminelle entwickelt, die es auf Windows-Benutzer abgesehen haben, da sie die Fähigkeit der Anwendung ausnutzen, Befehle unbemerkt auszuführen.

Effektive Strategien zum Blockieren von Remcos RAT in PowerShell

Starten Sie PowerShell zunächst mit Administratorrechten. Es ist wichtig zu prüfen, ob Ihre Ausführungsrichtlinie derzeit uneingeschränkten oder eingeschränkten Zugriff zulässt.

Get-ExecutionPolicy

Wenn Ihre Konfiguration „eingeschränkt“ anzeigt (die typische Standardeinstellung), fahren Sie mit den nächsten Schritten fort. Wenn „uneingeschränkt“ angezeigt wird, setzen Sie die Einstellung zunächst auf „eingeschränkt“ zurück, indem Sie die entsprechende Aufforderung bestätigen.

Set-ExecutionPolicy Restricted

Ändern der PowerShell-Ausführungsrichtlinie in „Eingeschränkt“.

Nach der Einrichtung einer eingeschränkten Umgebung empfiehlt es sich, den Constrained Language Mode in PowerShell einzurichten, wie von Qualys empfohlen. Dies schränkt den Zugriff auf sensible. NET-Methoden und COM-Objekte, die möglicherweise von Remcos RAT und ähnlichen Angreifern ausgenutzt werden können, weiter ein.

$ExecutionContext. SessionState. LanguageMode = "ConstrainedLanguage"

Stellen Sie sicher, dass diese Implementierung auf alle Benutzer angewendet wird, indem Sie den Gültigkeitsbereich „Lokaler Computer“ erzwingen. Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

Erzwingen des eingeschränkten Sprachmodus in PowerShell.

Um Ihre Abwehrmaßnahmen zu verbessern, blockieren Sie verdächtige Befehlszeilenargumente in PowerShell. Dieser proaktive Ansatz kann die Ausführung versteckter Vorläuferskripte verhindern, wie beispielsweise der HTA-Datei, die mit Remcos RAT-Angriffen verknüpft ist.

Da Remcos RAT PowerShell-Shellcode verwendet, kann es wichtig sein, fehlende Registrierungseinträge für „PowerShell“ und „ScriptBlockLogging“ zu erstellen. So geht’s:

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Erstellen von Registrierungspfaden für PowerShell ScriptBlockLogging.

Nachdem Sie den Befehl „ScriptBlockLogging“ auf den Wert 1 gesetzt haben, verhindern Sie effektiv, dass Remcos RAT und ähnliche Malware Shellcode-Loader in der PowerShell-Umgebung ausführen.

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Konzentrieren Sie sich als Nächstes auf die Anwendung einer Filterung für fragwürdige Befehlszeilenargumente, die über versteckte Skripte ausgeführt werden:

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1

Deaktivieren von MSHTA.exe: Eine Schlüsselstrategie gegen Remcos RAT

Remcos RAT nutzt häufig mshta.exe, eine zentrale Windows-Anwendung unter C:\Windows\System32. Obwohl normalerweise harmlos, wird diese Anwendung mit der Einführung von Windows 11 Version 24H2 kaum noch benötigt und kann problemlos deaktiviert werden.

Speicherort von mshta.exe im System32-Verzeichnis.

mshta.exe dient zum Ausführen von HTML-Anwendungsdateien (HTA), die VBScript oder JavaScript mit erhöhten Systemrechten ausführen können. Wenn Sie Windows 11 Pro verwenden, öffnen Sie gpedit.mscüber den Befehl „Ausführen“ den lokalen Gruppenrichtlinien-Editor. Navigieren Sie zu folgendem Pfad: Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkungen.

Zugriff

Wenn noch keine Richtlinien vorhanden sind, können Sie eine erstellen, indem Sie mit der rechten Maustaste auf eine neue Richtlinie klicken und „ Neue Richtlinien für Softwareeinschränkungen“ auswählen. Wählen Sie unter „Zusätzliche Regeln“ die Option „ Neue Pfadregel“ aus.

Erstellen einer neuen Pfadregel unter

Geben Sie C:\Windows\System32\mshta.exeals Pfad ein und legen Sie die Sicherheitsstufe als Nicht zulässig fest. Klicken Sie anschließend auf Übernehmen und dann auf OK.

Für Nutzer von Windows 11/10 Home, denen der Gruppenrichtlinien-Editor fehlt, steht alternativ die Windows-Sicherheit zur Verfügung. Gehen Sie dazu zu App- und Browser-Steuerung -> Exploit-Schutz -> Exploit-Schutz-Einstellungen -> Programmeinstellungen. Klicken Sie anschließend auf „ Zum Anpassen Programm hinzufügen“.

Navigieren Sie zu „Programm zur Anpassung im Exploit-Schutz hinzufügen“.

Wählen Sie die Option „Genauen Dateipfad auswählen“, um zum Speicherort der Datei mshta.exe zu navigieren. Nach dem Öffnen wird ein Popup-Fenster angezeigt.

Deaktivieren Sie hier alle mshta.exe-Richtlinien, die die standardmäßigen Systemsicherheitsmaßnahmen außer Kraft setzen. Sollten diese Einstellungen bereits als deaktiviert angezeigt werden, sind keine weiteren Maßnahmen erforderlich.

Deaktivieren der mshta.exe-Richtlinieneinstellungen in der Windows-Sicherheit.

Zusätzliche Sicherheitsmaßnahmen zum Schutz von PowerShell

Um Ihre Abwehrmaßnahmen gegen Remcos RAT und andere bösartige Exploits zu stärken, sollten Sie diese zusätzlichen Präventivmaßnahmen in Betracht ziehen:

  • Regelmäßige Updates: Halten Sie Ihr Windows-Betriebssystem und Ihre Anwendungen immer auf dem neuesten Stand, da Patches häufig Sicherheitslücken beheben.
  • Echtzeitschutz aktivieren: Stellen Sie sicher, dass Ihre Antivirensoftware, beispielsweise Microsoft Defender, immer aktiv und im Echtzeitschutzmodus ist.
  • Benutzer schulen: Fördern Sie Schulungen zum Erkennen von Phishing-Versuchen und zur Bedeutung eines vorsichtigen Surfverhaltens bei Benutzern, die auf Ihre Systeme zugreifen.
  • Netzwerküberwachung: Setzen Sie Tools zur kontinuierlichen Netzwerküberwachung ein, um ungewöhnliche Aktivitäten zu erkennen, die auf eine RAT-Infektion hinweisen könnten.
  • Backups: Sichern Sie Ihre Daten regelmäßig, um die Auswirkungen eines potenziellen Angriffs zu verringern, und halten Sie einen Wiederherstellungsplan bereit.

Durch den Einsatz dieser Strategien können Sie Ihre PowerShell-Nutzung vor dem Remcos RAT und anderen neuen Bedrohungen schützen.

Häufig gestellte Fragen

1. Was ist Remcos RAT und wie funktioniert es?

Der Remcos RAT ist ein Remote-Access-Trojaner, der sich heimlich über Phishing-Angriffe in Systeme einschleicht und Prozesse ausführt, ohne dass Downloads erforderlich sind. Er nutzt mshta.exe, um PowerShell-Skripte auszuführen, die vertrauliche Informationen erfassen und Geräte steuern können.

2. Wie kann ich verhindern, dass Remcos RAT auf mein System zugreift?

Implementieren Sie Sicherheitsmaßnahmen wie eingeschränkte PowerShell-Ausführungsrichtlinien, die Aktivierung des eingeschränkten Sprachmodus und die Deaktivierung von mshta.exe. Halten Sie Ihr System außerdem auf dem neuesten Stand und informieren Sie Ihre Benutzer über Phishing-Risiken.

3. Ist es sicher, mshta.exe zu deaktivieren?

Ja, die Deaktivierung von mshta.exe wird dringend empfohlen, da diese Datei in modernen Anwendungen nicht mehr häufig verwendet wird. Durch die Deaktivierung verringern Sie das Risiko einer Ausnutzung durch Malware wie Remcos RAT erheblich.

Quelle & Bilder

Ähnliche Artikel:

Gerücht: Xbox-Handheld-Gerät soll über eine benutzerdefinierte Low-Power-APU von AMD verfügen
NVIDIAs kommender KI-Chip „B40“ für den chinesischen Markt: Voraussichtliche Auslieferungen in diesem Jahr liegen bei fast einer Million Einheiten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert