Proteja su PowerShell de los ataques sin archivos causados ​​por el malware Remcos RAT

Proteja su PowerShell de los ataques sin archivos causados ​​por el malware Remcos RAT

Los usuarios de Windows deben mantenerse alerta ante el troyano de acceso remoto (RAT) Remcos. Este sofisticado malware emplea técnicas sigilosas para infiltrarse en los sistemas mediante ataques de phishing, eliminando la necesidad de descargas. Con un solo clic imprudente en un archivo ZIP malicioso, el RAT se activa y ejecuta aplicaciones HTML mediante PowerShell. Una vez dentro, puede tomar el control de los sistemas, realizar capturas de pantalla, registrar las pulsaciones de teclas y obtener el control total.

Esta guía tiene como objetivo proporcionar medidas prácticas para proteger su PowerShell contra Remcos RAT y otros ataques de malware sin archivos similares.

Entendiendo Remcos RAT: El panorama de amenazas

El método de ataque RAT de Remcos es preocupantemente sencillo. Según Qualys, las víctimas reciben archivos ZIP que contienen archivos LNK (accesos directos de Windows camuflados en documentos).Actualmente, los estafadores explotan correos electrónicos de phishing con temática fiscal, pero las amenazas futuras podrían adoptar cualquier disfraz para engañar a los usuarios.

Al abrir el archivo LNK, se ejecuta mshta.exe (Microsoft HTML Application Host), que a su vez ejecuta un script de PowerShell como «24.ps1».Esto inicia un cargador de shellcode para ejecutar la carga útil Remcos RAT, manipulando el sistema completamente desde la memoria sin dejar rastros en el disco.

Precaución: PowerShell se ha convertido en el arma preferida de los cibercriminales que atacan a los usuarios de Windows, aprovechando su capacidad para ejecutar comandos sin ser detectados.

Estrategias efectivas para bloquear Remcos RAT en PowerShell

Comience iniciando PowerShell con privilegios de administrador. Es fundamental determinar si su política de ejecución permite actualmente acceso sin restricciones o restringido.

Get-ExecutionPolicy

Si su configuración muestra «restringida» (el valor predeterminado habitual), continúe con los siguientes pasos. Si muestra «sin restricciones», primero vuelva a «restringida» confirmando cuando se le solicite.

Set-ExecutionPolicy Restricted

Cambiar la política de ejecución de PowerShell a Restringida.

Tras establecer un entorno restringido, se recomienda continuar con la configuración del Modo de Lenguaje Restringido en PowerShell, según lo recomendado por Qualys. Esto restringe aún más el acceso a métodos. NET y objetos COM sensibles que podrían ser explotados por Remcos RAT y similares.

$ExecutionContext. SessionState. LanguageMode = "ConstrainedLanguage"

Asegúrese de que esta implementación se aplique a todos los usuarios aplicando el ámbito de la máquina local. Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

Aplicación del modo de lenguaje restringido en PowerShell.

A continuación, para reforzar sus defensas, bloquee los argumentos sospechosos de la línea de comandos en PowerShell. Este enfoque proactivo puede evitar la ejecución de scripts precursores ocultos, como el archivo HTA vinculado a los ataques RAT de Remcos.

Dado que Remcos RAT utiliza el código shell de PowerShell, crear una entrada de registro faltante para «PowerShell» y «ScriptBlockLogging» puede ser esencial. A continuación, se explica cómo:

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Creación de rutas de registro para ScriptBlockLogging de PowerShell.

Después de configurar el comando “ScriptBlockLogging” con un valor de 1, evitará eficazmente que Remcos RAT y malware similar ejecuten cargadores de shellcode en el entorno de PowerShell.

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

A continuación, céntrese en aplicar el filtrado a los argumentos de línea de comandos cuestionables ejecutados a través de scripts ocultos:

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1

Desactivar MSHTA.exe: una estrategia clave contra Remcos RAT

Remcos RAT suele utilizar mshta.exe, una aplicación esencial de Windows que se encuentra en [nombre del archivo C:\Windows\System32].Aunque suele ser inofensiva, con la llegada de Windows 11 versión 24H2, esta aplicación ya no es necesaria y se puede desactivar de forma segura.

Ubicación de mshta.exe dentro del directorio System32.

mshta.exe está diseñado para ejecutar archivos de aplicación HTML (HTA), que pueden ejecutar VBScript o JavaScript con privilegios de sistema elevados. Si utiliza Windows 11 Pro, utilice gpedit.mscel comando Ejecutar para acceder al Editor de directivas de grupo local. Vaya a la siguiente ruta: Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Directivas de restricción de software.

Accediendo

Si no hay políticas preexistentes, puede crear una haciendo clic derecho para agregar una nueva política y seleccionando » Nuevas políticas de restricción de software». En «Reglas adicionales», elija crear una «Nueva regla de ruta».

Creación de una nueva regla de ruta en

Ingrese C:\Windows\System32\mshta.exela ruta y asigne el nivel de seguridad » No permitido». A continuación, haga clic en «Aplicar» y luego en «Aceptar».

Los usuarios de Windows 11/10 Home que no tengan el Editor de directivas de grupo pueden usar Seguridad de Windows. Vayan a Control de aplicaciones y navegadores -> Protección contra exploits -> Configuración de protección contra exploits -> Configuración del programa. Hagan clic en «Agregar programa para personalizar».

Navegando hasta Agregar programa para personalización en Protección contra exploits.

Seleccione la opción «Elegir la ruta exacta del archivo» para acceder a la ubicación del archivo mshta.exe. Una vez abierto, verá una ventana emergente.

Aquí, asegúrese de desactivar todas las políticas de mshta.exe que anulan las medidas de seguridad predeterminadas del sistema. Si estas opciones ya aparecen como deshabilitadas, no es necesario hacer nada más.

Deshabilitar la configuración de la política mshta.exe en Seguridad de Windows.

Medidas de seguridad adicionales para mantener PowerShell seguro

Para reforzar sus defensas contra Remcos RAT y otros exploits maliciosos, considere estos pasos preventivos adicionales:

  • Actualizaciones periódicas: mantenga siempre su sistema operativo Windows y sus aplicaciones actualizados a las últimas versiones, ya que los parches suelen solucionar vulnerabilidades.
  • Habilitar la protección en tiempo real: asegúrese de que su software antivirus, como Microsoft Defender, esté siempre activo y en modo de protección en tiempo real.
  • Educar a los usuarios: promover la capacitación sobre cómo identificar intentos de phishing y la importancia de un comportamiento de navegación cauteloso entre los usuarios que acceden a sus sistemas.
  • Monitoreo de red: utilice herramientas para el monitoreo continuo de la red para detectar actividad inusual que pueda indicar una infección de RAT.
  • Copias de seguridad: Realice copias de seguridad periódicas de sus datos para reducir el impacto de un posible ataque y mantener un plan de recuperación a mano.

Al emplear estas estrategias, puede proteger su uso de PowerShell contra Remcos RAT y otras amenazas emergentes.

Preguntas frecuentes

1.¿Qué es el Remcos RAT y cómo funciona?

Remcos RAT es un troyano de acceso remoto que se infiltra en los sistemas mediante ataques de phishing, ejecutando procesos sin necesidad de descargas. Funciona explotando mshta.exe para ejecutar scripts de PowerShell que pueden capturar información confidencial y controlar dispositivos.

2.¿Cómo puedo evitar que Remcos RAT acceda a mi sistema?

Implemente medidas de seguridad, como restringir las políticas de ejecución de PowerShell, habilitar el modo de lenguaje restringido y deshabilitar mshta.exe. Además, mantenga su sistema actualizado e informe a los usuarios sobre los riesgos de phishing.

3.¿Es seguro deshabilitar mshta.exe?

Sí, se recomienda encarecidamente deshabilitar mshta.exe, ya que ya no se usa comúnmente en aplicaciones modernas. Al deshabilitarlo, se reduce significativamente el riesgo de explotación por malware como Remcos RAT.

Fuente e imágenes

Artículos relacionados:

Rumor: El dispositivo portátil Xbox contará con una APU de bajo consumo personalizada de AMD
El próximo chip de inteligencia artificial “B40” de NVIDIA para el mercado chino: se prevé que los envíos se acerquen al millón de unidades este año.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *