Windowsユーザーは、Remcosリモートアクセス型トロイの木馬(RAT)に対して警戒を怠らないようにする必要があります。この高度なマルウェアは、フィッシング攻撃を介してシステムに侵入するステルス性の高い手法を用いており、ダウンロードの手間を省きます。悪意のあるZIPファイルを不用意にクリックするだけでRATが起動し、PowerShellを介してHTMLアプリケーションを実行します。侵入すると、システムを乗っ取り、スクリーンショットをキャプチャし、キーストロークを記録し、完全な制御権を奪取する可能性があります。
このガイドは、Remcos RAT やその他の同様のファイルレス マルウェア攻撃から PowerShell を保護するための実用的な対策を提供することを目的としています。
Remcos RAT を理解する: 脅威の状況
Remcos RATの攻撃手法は、非常に単純です。Qualysによると、被害者はLNKファイル(ドキュメントに偽装されたWindowsショートカット)を含むZIPファイルを受け取ります。現在、詐欺師は税金関連のフィッシングメールを悪用していますが、将来の脅威はユーザーを欺くためにあらゆる偽装を施す可能性があります。
LNKファイルを開くと、mshta.exe(Microsoft HTML Application Host)が起動し、「24.ps1」などのPowerShellスクリプトが実行されます。これによりシェルコードローダーが起動し、Remcos RATペイロードが実行され、ディスクに痕跡を残さずにメモリからシステムを完全に操作します。
注意: PowerShell は、検出されずにコマンドを実行する機能を利用して、Windows ユーザーを標的とするサイバー犯罪者に好まれる武器へと進化しています。
PowerShellでRemcos RATをブロックする効果的な戦略
まず、管理者権限でPowerShellを起動します。実行ポリシーで現在、無制限のアクセスが許可されているか、制限付きのアクセスが許可されているかを確認することが重要です。
Get-ExecutionPolicy
設定が「制限あり」(一般的なデフォルト)と表示されている場合は、次の手順に進みます。「制限なし」と表示されている場合は、プロンプトが表示されたら確認して「制限あり」に戻してください。
Set-ExecutionPolicy Restricted
制限された環境を構築した後は、Qualysの推奨に従い、PowerShellで制約言語モードを設定することをお勧めします。これにより、Remcos RATなどのマルウェアによって悪用される可能性のある、機密性の高い. NETメソッドやCOMオブジェクトへのアクセスがさらに制限されます。
$ExecutionContext. SessionState. LanguageMode = "ConstrainedLanguage"
ローカル マシン スコープを適用して、この実装がすべてのユーザーに適用されるようにします。 Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force
次に、防御を強化するために、PowerShell内で疑わしいコマンドライン引数をブロックします。このプロアクティブなアプローチにより、Remcos RAT攻撃にリンクされたHTAファイルなど、隠れた前駆スクリプトの実行を阻止できます。
Remcos RATはPowerShellシェルコードを使用するため、「PowerShell」と「ScriptBlockLogging」の不足しているレジストリエントリを作成することが不可欠となる場合があります。手順は以下のとおりです。
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
「ScriptBlockLogging」コマンドの値を1に設定すると、Remcos RAT や同様のマルウェアが PowerShell 環境でシェルコード ローダーを実行するのを効果的に防ぐことができます。
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
次に、隠しスクリプトを通じて実行される疑わしいコマンドライン引数のフィルタリングを適用することに重点を置きます。
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1
MSHTA.exe の無効化: Remcos RAT 対策の重要戦略
Remcos RATは、Windowsのコアアプリケーションであるmshta.exeを頻繁に利用しますC:\Windows\System32。このアプリケーションは一般的には無害ですが、Windows 11バージョン24H2の登場により、ほとんど使用されなくなったため、安全に無効化できます。
mshta.exe は、昇格されたシステム権限で VBScript または JavaScript を実行できる HTML アプリケーション (HTA) ファイルを実行するように設計されています。Windows 11 Pro をお使いの場合は、 「実行」コマンドからローカル グループ ポリシー エディターにアクセスしてください。 「コンピューターの構成」 → 「Windows の設定」 → 「セキュリティの設定」 → 「ソフトウェアの制限のポリシー」gpedit.mscの順に選択してください。
既存のポリシーがない場合は、右クリックして新しいポリシーを追加し、「新しいソフトウェア制限ポリシー」を選択して作成できます。「追加の規則」で、「新しいパス規則」を作成します。
C:\Windows\System32\mshta.exeパスを入力し、セキュリティレベルを「Disallowed(許可しない)」に指定します。その後、「Apply(適用)」をクリックし、「OK」をクリックします。
Windows 11/10 Homeをご利用でグループポリシーエディターがない場合は、Windowsセキュリティを代わりに使用できます。「アプリとブラウザコントロール」→「Exploit Protection」→ 「Exploit Protectionの設定」 → 「プログラムの設定」に進みます。「プログラムの追加」をクリックしてカスタマイズします。
「正確なファイルパスを選択」オプションを選択して、mshta.exeファイルの場所に移動します。開くと、ポップアップウィンドウが表示されます。
ここで、デフォルトのシステムセキュリティ対策を上書きするmshta.exeポリシーをすべてオフにしてください。これらの設定が既に無効になっている場合は、それ以上の操作は必要ありません。
PowerShell を安全に保つための追加のセキュリティ対策
Remcos RAT やその他の悪意のあるエクスプロイトに対する防御を強化するには、次の追加の予防策を検討してください。
- 定期的な更新:パッチによって脆弱性が修正されることが多いため、Windows オペレーティング システムとアプリケーションを常に最新バージョンに更新しておいてください。
- リアルタイム保護を有効にする: Microsoft Defender などのウイルス対策ソフトウェアが常にアクティブであり、リアルタイム保護モードになっていることを確認します。
- ユーザーの教育:システムにアクセスするユーザーの間で、フィッシング攻撃の特定と慎重な閲覧行動の重要性に関するトレーニングを推進します。
- ネットワーク監視: RAT 感染を示唆する可能性のある異常なアクティビティを検出するために、継続的なネットワーク監視ツールを使用します。
- バックアップ:潜在的な攻撃の影響を軽減し、復旧計画を待機しておくために、定期的にデータをバックアップします。
これらの戦略を採用することで、Remcos RAT やその他の新たな脅威から PowerShell の使用を保護できます。
よくある質問
1. Remcos RAT とは何ですか? また、どのように動作しますか?
Remcos RATは、フィッシング攻撃を介して密かにシステムに侵入し、ダウンロードを必要とせずにプロセスを実行するリモートアクセス型トロイの木馬です。mshta.exeを悪用してPowerShellスクリプトを実行し、機密情報を取得したりデバイスを制御したりすることで動作します。
2. Remcos RAT がシステムにアクセスするのを防ぐにはどうすればよいですか?
PowerShell実行ポリシーを制限付きに設定する、制約言語モードを有効にする、mshta.exeを無効にするなどのセキュリティ対策を実施してください。さらに、システムを最新の状態に保ち、フィッシングのリスクについてユーザーに周知徹底してください。
3.mshta.exe を無効にしても安全ですか?
はい、mshta.exe は最近のアプリケーションでは一般的に使用されなくなったため、無効化を強くお勧めします。無効化することで、Remcos RAT などのマルウェアによる悪用リスクを大幅に軽減できます。
コメントを残す ▼