Chroń swój program PowerShell przed atakami bezplikowymi spowodowanymi przez złośliwe oprogramowanie Remcos RAT

Chroń swój program PowerShell przed atakami bezplikowymi spowodowanymi przez złośliwe oprogramowanie Remcos RAT

Użytkownicy systemu Windows muszą zachować czujność wobec trojana Remcos Remote Access Trojan (RAT).To wyrafinowane złośliwe oprogramowanie wykorzystuje ukryte techniki do infiltracji systemów za pomocą ataków phishingowych, eliminując potrzebę pobierania jakichkolwiek plików. Pojedyncze nierozsądne kliknięcie złośliwego pliku ZIP powoduje aktywację RAT, który uruchamia aplikacje HTML za pośrednictwem programu PowerShell. Po przedostaniu się do środka może przejąć kontrolę nad systemami, przechwytywać zrzuty ekranu, rejestrować naciśnięcia klawiszy i uzyskać pełną kontrolę.

Celem tego przewodnika jest przedstawienie praktycznych środków zabezpieczających program PowerShell przed atakami Remcos RAT i innymi podobnymi atakami złośliwego oprogramowania bez użycia plików.

Zrozumienie Remcos RAT: Krajobraz zagrożeń

Metoda ataku Remcos RAT jest niepokojąco prosta. Według Qualys ofiary otrzymują pliki ZIP zawierające pliki LNK — skróty Windows zakamuflowane jako dokumenty. Obecnie oszuści wykorzystują wiadomości phishingowe o tematyce podatkowej, ale jutrzejsze zagrożenia mogą przyjąć dowolną formę, aby oszukać użytkowników.

Po otwarciu pliku LNK uruchamiany jest plik mshta.exe (Microsoft HTML Application Host), który z kolei wykonuje skrypt programu PowerShell, taki jak „24.ps1”.Powoduje to uruchomienie programu ładującego kod powłoki w celu uruchomienia ładunku Remcos RAT, co pozwala na manipulowanie systemem wyłącznie z pamięci i bez pozostawiania śladów na dysku.

Uwaga: PowerShell stał się ulubioną bronią cyberprzestępców atakujących użytkowników systemu Windows, którzy wykorzystują jego zdolność do wykonywania poleceń bez wykrycia.

Skuteczne strategie blokowania Remcos RAT w PowerShell

Zacznij od uruchomienia programu PowerShell z uprawnieniami administratora. Ważne jest, aby ustalić, czy Twoja polityka wykonywania obecnie zezwala na nieograniczony lub ograniczony dostęp.

Get-ExecutionPolicy

Jeśli Twoja konfiguracja pokazuje „restricted” (typowe ustawienie domyślne), przejdź do następnych kroków. Jeśli wyświetla się „unrestricted”, najpierw przywróć ją do „restricted”, potwierdzając, gdy zostaniesz o to poproszony.

Set-ExecutionPolicy Restricted

Zmiana zasad wykonywania programu PowerShell na ograniczone.

Po ustanowieniu ograniczonego środowiska zaleca się, aby skonfigurować Constrained Language Mode w PowerShell, zgodnie z zaleceniami Qualys. To dodatkowo ogranicza dostęp do wrażliwych metod NET i obiektów COM, które mogą być potencjalnie wykorzystane przez Remcos RAT i podobne.

$ExecutionContext. SessionState. LanguageMode = "ConstrainedLanguage"

Upewnij się, że ta implementacja jest stosowana do wszystkich użytkowników, wymuszając zakres komputera lokalnego. Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

Wymuszanie trybu ograniczonego języka w programie PowerShell.

Następnie, aby wzmocnić swoje zabezpieczenia, zablokuj podejrzane argumenty wiersza poleceń w PowerShell. To proaktywne podejście może zapobiec wykonywaniu ukrytych skryptów prekursorowych, takich jak plik HTA powiązany z atakami Remcos RAT.

Ponieważ Remcos RAT korzysta z powłoki PowerShell, utworzenie brakującego wpisu rejestru dla „PowerShell” i „ScriptBlockLogging” może być niezbędne. Oto jak:

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Tworzenie ścieżek rejestru dla programu PowerShell ScriptBlockLogging.

Ustawiając w poleceniu „ScriptBlockLogging” wartość 1, skutecznie uniemożliwisz programom Remcos RAT i podobnemu złośliwemu oprogramowaniu uruchamianie programów ładujących kod powłoki w środowisku PowerShell.

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Następnie skup się na zastosowaniu filtrowania dla wątpliwych argumentów wiersza poleceń wykonywanych za pomocą ukrytych skryptów:

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1

Wyłączanie MSHTA.exe: kluczowa strategia przeciwko Remcos RAT

Remcos RAT często wykorzystuje mshta.exe, podstawową aplikację Windows, którą można znaleźć w C:\Windows\System32. Chociaż zazwyczaj niegroźna, wraz z pojawieniem się wersji Windows 11 24H2, ta aplikacja jest rzadko potrzebna i można ją bezpiecznie wyłączyć.

Lokalizacja pliku mshta.exe w katalogu System32.

mshta.exe jest przeznaczony do wykonywania plików aplikacji HTML (HTA), które mogą uruchamiać VBScript lub JavaScript z podwyższonymi uprawnieniami systemowymi. Jeśli używasz systemu Windows 11 Pro, wprowadź gpedit.mscpolecenie Uruchom, aby uzyskać dostęp do Edytora lokalnych zasad grupy. Przejdź do następującej ścieżki: Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady ograniczeń oprogramowania.

Dostęp

Jeśli nie ma żadnych zasad, możesz utworzyć jedną, klikając prawym przyciskiem myszy, aby dodać nową zasadę, wybierając Nowe zasady ograniczeń oprogramowania. W obszarze Dodatkowe zasady wybierz opcję utworzenia Nowej reguły ścieżki.

Tworzenie nowej reguły ścieżki w ramach

Wprowadź C:\Windows\System32\mshta.exeścieżkę i określ jej poziom zabezpieczeń jako Niedozwolony. Następnie kliknij Zastosuj, a potem OK.

Użytkownicy Windows 11/10 Home, którzy nie mają Edytora zasad grupy, mogą alternatywnie użyć Zabezpieczeń systemu Windows. Przejdź do Kontrola aplikacji i przeglądarki -> Ochrona przed eksploitami -> Ustawienia ochrony przed eksploitami -> Ustawienia programu. Kliknij Dodaj program, aby dostosować.

Przechodzenie do opcji Dodaj program w celu dostosowania w Ochronie przed eksploitami.

Wybierz opcję Wybierz dokładną ścieżkę pliku, aby przejść do lokalizacji pliku mshta.exe. Po otwarciu zobaczysz okno podręczne.

Tutaj upewnij się, że wyłączono wszystkie zasady mshta.exe, które zastępują domyślne środki bezpieczeństwa systemu. Jeśli te ustawienia są już wyświetlane jako wyłączone, nie są wymagane żadne dalsze działania.

Wyłączanie ustawień zasad mshta.exe w Zabezpieczeniach systemu Windows.

Dodatkowe środki bezpieczeństwa zapewniające bezpieczeństwo programu PowerShell

Aby wzmocnić swoje zabezpieczenia przed Remcos RAT i innymi złośliwymi atakami, rozważ poniższe dodatkowe kroki zapobiegawcze:

  • Regularne aktualizacje: Zawsze aktualizuj system operacyjny Windows i aplikacje do najnowszych wersji, ponieważ poprawki często mają na celu wyeliminowanie luk w zabezpieczeniach.
  • Włącz ochronę w czasie rzeczywistym: Upewnij się, że oprogramowanie antywirusowe, np. Microsoft Defender, jest zawsze aktywne i działa w trybie ochrony w czasie rzeczywistym.
  • Edukacja użytkowników: promuj szkolenia na temat rozpoznawania prób phishingu i znaczenia ostrożnego zachowania podczas przeglądania stron internetowych wśród użytkowników uzyskujących dostęp do Twoich systemów.
  • Monitorowanie sieci: korzystaj z narzędzi do ciągłego monitorowania sieci w celu wykrywania nietypowej aktywności, która może wskazywać na infekcję RAT.
  • Kopie zapasowe: Regularnie twórz kopie zapasowe swoich danych, aby ograniczyć skutki potencjalnego ataku i mieć w gotowości plan odzyskiwania danych.

Stosując te strategie, możesz zabezpieczyć swoje działanie programu PowerShell przed atakami Remcos RAT i innymi nowymi zagrożeniami.

Często zadawane pytania

1. Czym jest Remcos RAT i jak działa?

Remcos RAT to trojan zdalnego dostępu, który potajemnie infiltruje systemy za pomocą ataków phishingowych, wykonując procesy bez konieczności pobierania. Działa, wykorzystując mshta.exe do uruchamiania skryptów PowerShell, które mogą przechwytywać poufne informacje i kontrolować urządzenia.

2. Jak mogę uniemożliwić dostęp Remcos RAT do mojego systemu?

Wdróż środki bezpieczeństwa, takie jak ustawienie zasad wykonywania programu PowerShell na ograniczone, włączenie trybu języka ograniczonego i wyłączenie mshta.exe. Ponadto aktualizuj system i edukuj użytkowników na temat zagrożeń phishingu.

3. Czy wyłączenie mshta.exe jest bezpieczne?

Tak, wyłączenie mshta.exe jest wysoce zalecane, ponieważ nie jest już powszechnie używane w nowoczesnych aplikacjach. Wyłączając je, znacznie zmniejszasz ryzyko wykorzystania złośliwego oprogramowania, takiego jak Remcos RAT.

Źródło i obrazy

Powiązane artykuły:

Plotka: Urządzenie przenośne Xbox będzie wyposażone w niestandardowy, energooszczędny układ APU firmy AMD
Nadchodzący układ AI „B40” firmy NVIDIA na rynek chiński: przewidywane dostawy zbliżają się do miliona sztuk w tym roku

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *