Proteja seu PowerShell contra ataques sem arquivo causados ​​pelo malware Remcos RAT

Proteja seu PowerShell contra ataques sem arquivo causados ​​pelo malware Remcos RAT

Usuários de Windows precisam manter uma postura vigilante contra o Trojan de Acesso Remoto (RAT) Remcos. Este malware sofisticado emprega técnicas furtivas para se infiltrar em sistemas por meio de ataques de phishing, eliminando a necessidade de downloads. Um único clique imprudente em um arquivo ZIP malicioso e o RAT é ativado, executando aplicativos HTML por meio do PowerShell. Uma vez dentro, ele pode assumir o controle de sistemas, capturar capturas de tela, registrar pressionamentos de tecla e obter controle total.

Este guia tem como objetivo fornecer medidas práticas para proteger seu PowerShell contra o Remcos RAT e outros ataques semelhantes de malware sem arquivo.

Compreendendo o Remcos RAT: O cenário de ameaças

O método de ataque RAT da Remcos é preocupantemente simples. De acordo com a Qualys, as vítimas recebem arquivos ZIP contendo arquivos LNK — atalhos do Windows disfarçados de documentos. Atualmente, os golpistas exploram e-mails de phishing com temas tributários, mas as ameaças de amanhã podem adotar qualquer disfarce para enganar os usuários.

Ao abrir o arquivo LNK, o mshta.exe (Microsoft HTML Application Host) é acionado, o qual, por sua vez, executa um script do PowerShell, como “24.ps1”.Isso inicia um carregador de shellcode para executar o payload do Remcos RAT, manipulando seu sistema inteiramente da memória sem deixar rastros no disco.

Cuidado: O PowerShell se tornou a arma preferida dos cibercriminosos que têm como alvo usuários do Windows, aproveitando sua capacidade de executar comandos sem detecção.

Estratégias eficazes para bloquear Remcos RAT no PowerShell

Comece iniciando o PowerShell com privilégios de administrador.É crucial determinar se sua política de execução permite acesso irrestrito ou restrito.

Get-ExecutionPolicy

Se a sua configuração indicar “restrito” (o padrão típico), prossiga para os próximos passos. Se indicar “irrestrito”, primeiro reverta para “restrito” confirmando quando solicitado.

Set-ExecutionPolicy Restricted

Alterando a política de execução do PowerShell para Restrita.

Após estabelecer um ambiente restrito, é aconselhável prosseguir com a configuração do Modo de Linguagem Restrita no PowerShell, conforme recomendado pela Qualys. Isso restringe ainda mais o acesso a métodos. NET e objetos COM sensíveis, potencialmente exploráveis ​​pelo Remcos RAT e similares.

$ExecutionContext. SessionState. LanguageMode = "ConstrainedLanguage"

Certifique-se de que essa implementação seja aplicada a todos os usuários, impondo o escopo da Máquina Local. Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

Aplicando o Modo de Linguagem Restrita no PowerShell.

Em seguida, para aprimorar suas defesas, bloqueie argumentos suspeitos de linha de comando no PowerShell. Essa abordagem proativa pode impedir a execução de scripts precursores ocultos, como o arquivo HTA vinculado aos ataques RAT do Remcos.

Como o Remcos RAT utiliza shellcode do PowerShell, criar uma entrada de registro ausente para “PowerShell” e “ScriptBlockLogging” pode ser essencial. Veja como:

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Criando caminhos de registro para o PowerShell ScriptBlockLogging.

Após definir o comando “ScriptBlockLogging” com o valor 1, você efetivamente impedirá que o Remcos RAT e malware semelhante executem carregadores de shellcode no ambiente do PowerShell.

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

Em seguida, concentre-se em aplicar filtragem para argumentos questionáveis ​​de linha de comando executados por meio de scripts ocultos:

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1

Desabilitando MSHTA.exe: Uma estratégia fundamental contra o Remcos RAT

O Remcos RAT frequentemente utiliza mshta.exe, um aplicativo principal do Windows encontrado em C:\Windows\System32. Embora normalmente inofensivo, com o advento do Windows 11 versão 24H2, esse aplicativo raramente é necessário e pode ser desativado com segurança.

Localização do mshta.exe no diretório System32.

O mshta.exe foi projetado para executar arquivos de aplicativos HTML (HTA), que podem executar VBScript ou JavaScript com privilégios de sistema elevados. Se você estiver usando o Windows 11 Pro, use gpedit.msco comando Executar para acessar o Editor de Política de Grupo Local. Navegue até o seguinte caminho: Configuração do Computador -> Configurações do Windows -> Configurações de Segurança -> Políticas de Restrição de Software.

Acessando

Caso não haja políticas preexistentes, você pode criar uma clicando com o botão direito do mouse para adicionar uma nova política e selecionando “Novas Políticas de Restrição de Software”. Em “Regras Adicionais”, escolha criar uma “Nova Regra de Caminho”.

Criando uma nova regra de caminho em

Insira C:\Windows\System32\mshta.exeo caminho e defina seu nível de segurança como Não Permitido. Em seguida, clique em Aplicar e depois em OK.

Para usuários do Windows 11/10 Home que não possuem o Editor de Política de Grupo, você pode usar a Segurança do Windows como alternativa. Acesse Controle de Aplicativos e Navegador -> Proteção contra Exploit -> Configurações de Proteção contra Exploit -> Configurações do Programa. Clique em Adicionar programa para personalizar.

Navegando para Adicionar programa para personalização na Proteção contra Exploração.

Selecione a opção “Escolher caminho exato do arquivo” para navegar até o local do arquivo mshta.exe. Após a abertura, você verá uma janela pop-up.

Aqui, certifique-se de desativar todas as políticas do mshta.exe que substituem as medidas de segurança padrão do sistema. Se essas configurações já estiverem desabilitadas, nenhuma outra ação será necessária.

Desabilitando as configurações de política do mshta.exe na Segurança do Windows.

Medidas de segurança adicionais para manter o PowerShell seguro

Para reforçar suas defesas contra Remcos RAT e outros exploits maliciosos, considere estas etapas preventivas adicionais:

  • Atualizações regulares: mantenha sempre o sistema operacional e os aplicativos Windows atualizados com as versões mais recentes, pois os patches geralmente corrigem vulnerabilidades.
  • Ative a proteção em tempo real: certifique-se de que seu software antivírus, como o Microsoft Defender, esteja sempre ativo e no modo de proteção em tempo real.
  • Eduque os usuários: Promova treinamento sobre como identificar tentativas de phishing e a importância de um comportamento de navegação cauteloso entre os usuários que acessam seus sistemas.
  • Monitoramento de rede: utilize ferramentas para monitoramento contínuo de rede para detectar atividades incomuns que possam indicar uma infecção RAT.
  • Backups: Faça backups regulares dos seus dados para reduzir o impacto de um possível ataque e mantenha um plano de recuperação em espera.

Ao empregar essas estratégias, você pode proteger seu uso do PowerShell contra o Remcos RAT e outras ameaças emergentes.

Perguntas frequentes

1. O que é o Remcos RAT e como ele funciona?

O Remcos RAT é um Trojan de acesso remoto que se infiltra secretamente em sistemas por meio de ataques de phishing, executando processos sem a necessidade de downloads. Ele opera explorando o arquivo mshta.exe para executar scripts do PowerShell que podem capturar informações confidenciais e controlar dispositivos.

2. Como posso impedir que o Remcos RAT acesse meu sistema?

Implemente medidas de segurança, como definir as políticas de execução do PowerShell como restritas, habilitar o Modo de Linguagem Restrita e desabilitar o mshta.exe. Além disso, mantenha seu sistema atualizado e informe os usuários sobre os riscos de phishing.

3.É seguro desabilitar o mshta.exe?

Sim, desabilitar o mshta.exe é altamente recomendado, pois ele não é mais comumente usado em aplicativos modernos. Ao desabilitá-lo, você reduz significativamente o risco de exploração por malware como o Remcos RAT.

Fonte e Imagens

Artigos relacionados:

Rumor: Xbox portátil terá APU personalizada de baixo consumo da AMD
O próximo chip de IA “B40” da NVIDIA para o mercado chinês: remessas projetadas se aproximam de um milhão de unidades este ano

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *