Protégez votre PowerShell contre les attaques sans fichier causées par le malware Remcos RAT

Protégez votre PowerShell contre les attaques sans fichier causées par le malware Remcos RAT

Les utilisateurs Windows doivent rester vigilants face au cheval de Troie d’accès à distance Remcos (RAT).Ce malware sophistiqué utilise des techniques furtives pour infiltrer les systèmes par hameçonnage, éliminant ainsi tout téléchargement. Un simple clic maladroit sur un fichier ZIP malveillant active le RAT et exécute des applications HTML via PowerShell. Une fois à l’intérieur, il peut prendre le contrôle des systèmes, effectuer des captures d’écran, enregistrer les frappes et prendre le contrôle total.

Ce guide vise à fournir des mesures pratiques pour sécuriser votre PowerShell contre le RAT Remcos et d’autres attaques de logiciels malveillants sans fichier similaires.

Comprendre Remcos RAT : le paysage des menaces

La méthode d’attaque du RAT Remcos est d’une simplicité inquiétante. Selon Qualys, les victimes reçoivent des fichiers ZIP contenant des fichiers LNK, des raccourcis Windows camouflés en documents. Actuellement, les escrocs exploitent les e-mails de phishing à caractère fiscal, mais les menaces de demain pourraient prendre n’importe quelle forme pour tromper les utilisateurs.

À l’ouverture du fichier LNK, mshta.exe (Microsoft HTML Application Host) est déclenché, qui exécute à son tour un script PowerShell tel que « 24.ps1 ».Cela lance un chargeur de shellcode pour exécuter la charge utile Remcos RAT, manipulant votre système entièrement depuis la mémoire sans laisser de traces sur le disque.

Attention : PowerShell est devenu une arme privilégiée des cybercriminels ciblant les utilisateurs de Windows, exploitant sa capacité à exécuter des commandes sans être détecté.

Stratégies efficaces pour bloquer le RAT Remcos dans PowerShell

Commencez par lancer PowerShell avec les privilèges d’administrateur. Il est essentiel de déterminer si votre politique d’exécution autorise actuellement un accès illimité ou restreint.

Get-ExecutionPolicy

Si votre configuration indique « restreint » (valeur par défaut), passez aux étapes suivantes. Si elle indique « non restreint », rétablissez d’abord l’option « restreint » en confirmant lorsque vous y êtes invité.

Set-ExecutionPolicy Restricted

Modification de la politique d’exécution de PowerShell sur Restreinte.

Après avoir établi un environnement restreint, il est conseillé de configurer le mode de langage contraint dans PowerShell, comme recommandé par Qualys. Cela limite davantage l’accès aux méthodes. NET et aux objets COM sensibles, potentiellement exploitables par Remcos RAT et ses équivalents.

$ExecutionContext. SessionState. LanguageMode = "ConstrainedLanguage"

Assurez-vous que cette implémentation est appliquée à tous les utilisateurs en appliquant la portée de la machine locale. Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

Application du mode de langage contraint dans PowerShell.

Ensuite, pour renforcer vos défenses, bloquez les arguments de ligne de commande suspects dans PowerShell. Cette approche proactive peut empêcher l’exécution de scripts précurseurs cachés, comme le fichier HTA lié aux attaques RAT de Remcos.

Comme Remcos RAT utilise le shellcode PowerShell, il peut être essentiel de créer une entrée de registre manquante pour « PowerShell » et « ScriptBlockLogging ».Voici comment :

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Création de chemins de registre pour PowerShell ScriptBlockLogging.

Après avoir défini la commande « ScriptBlockLogging » avec une valeur de 1, vous empêcherez efficacement Remcos RAT et les logiciels malveillants similaires d’exécuter des chargeurs de shellcode dans l’environnement PowerShell.

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Ensuite, concentrez-vous sur l’application du filtrage pour les arguments de ligne de commande douteux exécutés via des scripts cachés :

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1

Désactiver MSHTA.exe : une stratégie clé contre le RAT Remcos

Remcos RAT utilise souvent mshta.exe, une application Windows principale située à l’adresse C:\Windows\System32. Bien que généralement inoffensive, avec l’arrivée de Windows 11 version 24H2, cette application est rarement nécessaire et peut être désactivée en toute sécurité.

Emplacement de mshta.exe dans le répertoire System32.

mshta.exe est conçu pour exécuter des fichiers d’application HTML (HTA), qui peuvent exécuter VBScript ou JavaScript avec des privilèges système élevés. Si vous utilisez Windows 11 Pro, accédez gpedit.mscà l’éditeur de stratégie de groupe local via la commande Exécuter. Accédez au chemin suivant : Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de restriction logicielle.

Accéder

Si aucune politique n’existe déjà, vous pouvez en créer une en cliquant avec le bouton droit de la souris et en sélectionnant « Nouvelles politiques de restriction logicielle ». Sous « Règles supplémentaires », choisissez de créer une nouvelle règle de chemin.

Création d'une nouvelle règle de chemin sous

C:\Windows\System32\mshta.exeSaisissez le chemin d’ accès et définissez son niveau de sécurité sur « Interdit ». Cliquez ensuite sur « Appliquer », puis sur « OK ».

Les utilisateurs de Windows 11/10 Famille ne disposant pas de l’Éditeur de stratégie de groupe peuvent également utiliser la Sécurité Windows. Accédez à Contrôle des applications et du navigateur -> Protection contre les exploits -> Paramètres de protection contre les exploits -> Paramètres du programme. Cliquez ensuite sur Ajouter un programme pour personnaliser le programme.

Accédez à Ajouter un programme pour la personnalisation dans Exploit Protection.

Sélectionnez l’option « Choisir le chemin exact » pour accéder au fichier mshta.exe. Une fois ouvert, une fenêtre contextuelle s’affichera.

Assurez-vous de désactiver toutes les stratégies mshta.exe qui outrepassent les mesures de sécurité système par défaut. Si ces paramètres sont déjà désactivés, aucune autre action n’est nécessaire.

Désactivation des paramètres de stratégie mshta.exe dans la sécurité Windows.

Mesures de sécurité supplémentaires pour sécuriser PowerShell

Pour renforcer vos défenses contre Remcos RAT et d’autres exploits malveillants, envisagez ces mesures préventives supplémentaires :

  • Mises à jour régulières : maintenez toujours votre système d’exploitation Windows et vos applications à jour avec les dernières versions, car les correctifs corrigent souvent les vulnérabilités.
  • Activer la protection en temps réel : assurez-vous que votre logiciel antivirus, comme Microsoft Defender, est toujours actif et en mode de protection en temps réel.
  • Sensibilisez les utilisateurs : encouragez la formation sur l’identification des tentatives d’hameçonnage et l’importance d’un comportement de navigation prudent parmi les utilisateurs qui accèdent à vos systèmes.
  • Surveillance du réseau : utilisez des outils de surveillance continue du réseau pour détecter une activité inhabituelle pouvant indiquer une infection RAT.
  • Sauvegardes : Sauvegardez régulièrement vos données pour réduire l’impact d’une attaque potentielle et gardez un plan de récupération en veille.

En utilisant ces stratégies, vous pouvez protéger votre utilisation de PowerShell contre le RAT Remcos et d’autres menaces émergentes.

Questions fréquemment posées

1. Qu’est-ce que le Remcos RAT et comment fonctionne-t-il ?

Le RAT Remcos est un cheval de Troie d’accès à distance qui s’infiltre discrètement dans les systèmes par hameçonnage, exécutant des processus sans nécessiter de téléchargement. Il exploite mshta.exe pour exécuter des scripts PowerShell capables de capturer des informations sensibles et de contrôler les appareils.

2. Comment puis-je empêcher Remcos RAT d’accéder à mon système ?

Mettez en œuvre des mesures de sécurité telles que la définition de stratégies d’exécution PowerShell restreintes, l’activation du mode de langage contraint et la désactivation de mshta.exe. De plus, maintenez votre système à jour et sensibilisez les utilisateurs aux risques d’hameçonnage.

3. Est-il sûr de désactiver mshta.exe ?

Oui, il est fortement recommandé de désactiver mshta.exe, car il n’est plus couramment utilisé dans les applications modernes. En le désactivant, vous réduisez considérablement le risque d’exploitation par des logiciels malveillants comme Remcos RAT.

Source et images

Articles connexes:

Rumeur : la console portable Xbox sera équipée d'un processeur APU basse consommation personnalisé d'AMD
La prochaine puce d'IA « B40 » de NVIDIA pour le marché chinois : les livraisons prévues approchent le million d'unités cette année

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *