Proteggi PowerShell dagli attacchi senza file causati dal malware Remcos RAT

Proteggi PowerShell dagli attacchi senza file causati dal malware Remcos RAT

Gli utenti Windows devono mantenere una posizione vigile contro il Trojan di Accesso Remoto (RAT) Remcos. Questo malware sofisticato impiega tecniche stealth per infiltrarsi nei sistemi tramite attacchi di phishing, eliminando la necessità di scaricare alcun software. Basta un singolo clic inopportuno su un file ZIP dannoso e il RAT si attiva, eseguendo applicazioni HTML tramite PowerShell. Una volta all’interno, può prendere il controllo dei sistemi, acquisire screenshot, registrare le sequenze di tasti premuti e ottenere il pieno controllo.

Questa guida ha lo scopo di fornire misure pratiche per proteggere PowerShell da Remcos RAT e altri attacchi malware fileless simili.

Comprendere Remcos RAT: il panorama delle minacce

Il metodo di attacco RAT di Remcos è preoccupantemente semplice. Secondo Qualys, le vittime ricevono file ZIP contenenti file LNK, ovvero collegamenti a Windows camuffati da documenti. Attualmente, i truffatori sfruttano email di phishing a tema fiscale, ma le minacce di domani potrebbero adottare qualsiasi forma per ingannare gli utenti.

All’apertura del file LNK, viene attivato mshta.exe (Microsoft HTML Application Host), che a sua volta esegue uno script di PowerShell come “24.ps1”.Questo avvia un caricatore di shellcode per eseguire il payload RAT di Remcos, manipolando il sistema interamente dalla memoria senza lasciare tracce sul disco.

Attenzione: PowerShell si è evoluto diventando l’arma preferita dai criminali informatici che prendono di mira gli utenti Windows, sfruttando la sua capacità di eseguire comandi senza essere scoperti.

Strategie efficaci per bloccare Remcos RAT in PowerShell

Inizia avviando PowerShell con privilegi di amministratore.È fondamentale determinare se la policy di esecuzione attualmente consente l’accesso illimitato o limitato.

Get-ExecutionPolicy

Se la configurazione indica “limitata” (impostazione predefinita tipica), procedere con i passaggi successivi. Se indica “non limitata”, ripristinare prima “limitata” confermando quando richiesto.

Set-ExecutionPolicy Restricted

Modifica dei criteri di esecuzione di PowerShell in Limitati.

Dopo aver configurato un ambiente con restrizioni, è consigliabile procedere con la configurazione della modalità di linguaggio vincolato in PowerShell, come raccomandato da Qualys. Questo limita ulteriormente l’accesso a metodi. NET e oggetti COM sensibili, potenzialmente sfruttabili da Remcos RAT e simili.

$ExecutionContext. SessionState. LanguageMode = "ConstrainedLanguage"

Assicuratevi che questa implementazione venga applicata a tutti gli utenti imponendo l’ambito Macchina locale. Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

Applicazione della modalità di lingua vincolata in PowerShell.

Successivamente, per potenziare le difese, bloccate gli argomenti sospetti della riga di comando in PowerShell. Questo approccio proattivo può impedire l’esecuzione di script precursori nascosti, come il file HTA collegato agli attacchi RAT di Remcos.

Poiché Remcos RAT utilizza lo shellcode di PowerShell, può essere essenziale creare una voce di registro mancante per “PowerShell” e “ScriptBlockLogging”.Ecco come fare:

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Creazione di percorsi di registro per PowerShell ScriptBlockLogging.

Dopo aver impostato il comando “ScriptBlockLogging” con un valore pari a 1, impedirai efficacemente a Remcos RAT e a malware simili di eseguire caricatori di shellcode nell’ambiente PowerShell.

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Successivamente, concentrati sull’applicazione del filtro per argomenti discutibili della riga di comando eseguiti tramite script nascosti:

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1

Disabilitare MSHTA.exe: una strategia chiave contro Remcos RAT

Remcos RAT utilizza spesso mshta.exe, un’applicazione Windows di base disponibile all’indirizzo C:\Windows\System32. Sebbene in genere sia innocua, con l’avvento di Windows 11 versione 24H2, questa applicazione è raramente necessaria e può essere disattivata in sicurezza.

Posizione di mshta.exe nella directory System32.

mshta.exe è progettato per eseguire file di applicazioni HTML (HTA), che possono eseguire VBScript o JavaScript con privilegi di sistema elevati. Se utilizzi Windows 11 Pro, esegui gpedit.mscil comando Esegui per accedere all’Editor Criteri di gruppo locali. Accedere al seguente percorso: Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri di restrizione software.

Accesso

Se non sono presenti policy preesistenti, è possibile crearne una facendo clic con il pulsante destro del mouse per aggiungerne una nuova, selezionando ” Nuove policy di restrizione software”. In “Regole aggiuntive”, scegliere di creare una “Nuova regola di percorso”.

Creazione di una nuova regola di percorso in

Inserisci C:\Windows\System32\mshta.exeil percorso e imposta il livello di sicurezza su Non consentito. Successivamente, fai clic su Applica e poi su OK.

Per gli utenti di Windows 11/10 Home privi dell’Editor Criteri di gruppo, è possibile utilizzare Sicurezza di Windows. Andare a Controllo app e browser -> Protezione exploit -> Impostazioni di Protezione exploit -> Impostazioni programma. Fare clic su Aggiungi programma per personalizzare.

Passaggio ad Aggiungi programma per la personalizzazione in Protezione dagli exploit.

Seleziona l’opzione ” Scegli il percorso esatto del file” per accedere alla posizione del file mshta.exe. Una volta aperto, apparirà una finestra pop-up.

Qui, assicurati di disattivare tutti i criteri mshta.exe che sovrascrivono le misure di sicurezza predefinite del sistema. Se queste impostazioni sono già disabilitate, non sono necessarie ulteriori azioni.

Disattivazione delle impostazioni dei criteri mshta.exe in Sicurezza di Windows.

Misure di sicurezza aggiuntive per mantenere PowerShell sicuro

Per rafforzare le difese contro Remcos RAT e altri exploit dannosi, prendi in considerazione questi ulteriori passaggi preventivi:

  • Aggiornamenti regolari: mantieni sempre aggiornati il ​​sistema operativo Windows e le applicazioni alle versioni più recenti, poiché le patch spesso risolvono le vulnerabilità.
  • Abilita la protezione in tempo reale: assicurati che il tuo software antivirus, come Microsoft Defender, sia sempre attivo e in modalità di protezione in tempo reale.
  • Formazione degli utenti: promuovere la formazione sull’identificazione dei tentativi di phishing e sull’importanza di un comportamento di navigazione prudente tra gli utenti che accedono ai vostri sistemi.
  • Monitoraggio della rete: utilizzare strumenti per il monitoraggio continuo della rete per rilevare attività insolite che potrebbero indicare un’infezione da RAT.
  • Backup: esegui regolarmente il backup dei dati per ridurre l’impatto di un potenziale attacco e tieni pronto un piano di ripristino.

Utilizzando queste strategie, è possibile proteggere l’utilizzo di PowerShell da Remcos RAT e da altre minacce emergenti.

Domande frequenti

1. Che cos’è il Remcos RAT e come funziona?

Il RAT Remcos è un trojan ad accesso remoto che si infiltra segretamente nei sistemi tramite attacchi di phishing, eseguendo processi senza richiedere download. Opera sfruttando mshta.exe per eseguire script di PowerShell in grado di acquisire informazioni sensibili e controllare i dispositivi.

2. Come posso impedire a Remcos RAT di accedere al mio sistema?

Implementare misure di sicurezza come l’impostazione di criteri di esecuzione di PowerShell limitati, l’abilitazione della modalità di lingua vincolata e la disattivazione di mshta.exe. Inoltre, mantenere il sistema aggiornato e informare gli utenti sui rischi di phishing.

3.È sicuro disabilitare mshta.exe?

Sì, la disattivazione di mshta.exe è altamente consigliata, poiché non è più comunemente utilizzata nelle applicazioni moderne. Disattivandola, si riduce significativamente il rischio di exploit da parte di malware come Remcos RAT.

Fonte e immagini

Articoli correlati:

Rumor: il dispositivo portatile Xbox sarà dotato di un'APU a basso consumo personalizzata di AMD
Chip AI "B40" di NVIDIA in arrivo per il mercato cinese: spedizioni previste prossime al milione di unità quest'anno

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *