
Windows 使用者需要對 Remcos 遠端存取木馬 (RAT) 保持警惕。這款複雜的惡意軟體採用隱密技術透過網路釣魚攻擊滲透系統,無需任何下載。只需單擊惡意 ZIP 文件,RAT 就會被激活,並透過 PowerShell 執行 HTML 應用程式。一旦進入,它就可以接管系統、捕獲螢幕截圖、記錄擊鍵並獲得完全控制權。
本指南旨在提供實用措施,保護您的 PowerShell 免受 Remcos RAT 和其他類似的無檔案惡意軟體攻擊。
了解 Remcos RAT:威脅態勢
Remcos RAT 的攻擊方法簡單得令人擔憂。據Qualys稱,受害者收到的 ZIP 文件包含 LNK 文件——偽裝成文件的 Windows 快捷方式。目前,詐騙者利用以稅收為主題的網路釣魚電子郵件,但未來的威脅可能會採用任何幌子來欺騙用戶。
開啟 LNK 檔案後,將觸發 mshta.exe(Microsoft HTML 應用程式主機),進而執行 PowerShell 腳本,例如「24.ps1」。這將啟動一個 shellcode 載入器來運行 Remcos RAT 負載,完全從記憶體中操作您的系統,而不會在磁碟上留下痕跡。

注意: PowerShell 已成為針對 Windows 使用者的網路犯罪分子的首選武器,利用其在不被發現的情況下執行命令的能力。
在 PowerShell 中阻止 Remcos RAT 的有效策略
首先以管理員權限啟動 PowerShell。確定您的執行策略目前是否允許不受限製或受限制的存取至關重要。
Get-ExecutionPolicy
如果您的配置顯示「受限」(典型的預設設定),請繼續下一步。如果顯示“不受限制”,請先在出現提示時確認將其恢復為“受限”。
Set-ExecutionPolicy Restricted

建立受限環境後,建議依照 Qualys 的建議,在 PowerShell 中設定受限語言模式。這進一步限制了對敏感資訊的存取。 NET 方法和 COM 物件可能會被 Remcos RAT 及其同類利用。
$ExecutionContext. SessionState. LanguageMode = "ConstrainedLanguage"
透過強制執行本機電腦範圍,確保此實作適用於所有使用者。
Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

接下來,為了加強防禦,請封鎖 PowerShell 中的可疑命令列參數。這種主動方法可以防止隱藏的前驅腳本執行,例如與 Remcos RAT 攻擊相關的 HTA 檔案。
由於 Remcos RAT 使用 PowerShell shellcode,因此為「PowerShell」和「ScriptBlockLogging」建立缺少的登錄項目至關重要。方法如下:
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

將「ScriptBlockLogging」指令的值設為1後,您將有效阻止 Remcos RAT 和類似的惡意軟體在 PowerShell 環境中執行 shellcode 載入器。
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

接下來,重點介紹透過隱藏腳本執行的可疑命令列參數進行篩選:
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1

停用 MSHTA.exe:對抗 Remcos RAT 的關鍵策略
Remcos RAT 經常利用 mshta.exe,這是一個位於 的核心 Windows 應用程式C:\Windows\System32
。雖然通常是良性的,但隨著 Windows 11 版本 24H2 的出現,該應用程式很少再需要,可以安全地停用。

mshta.exe 旨在執行 HTML 應用程式 (HTA) 文件,該文件可以以提升的系統權限執行 VBScript 或 JavaScript。如果您正在操作 Windows 11 Pro,請gpedit.msc
透過執行命令輸入以存取本機群組原則編輯器。導覽至以下路徑:電腦設定-> Windows 設定->安全性設定->軟體限制策略。

如果沒有預先存在的策略,您可以透過右鍵單擊新增策略,選擇「新軟體限制策略」來建立一個。在附加規則下,選擇建立新路徑規則。

輸入C:\Windows\System32\mshta.exe
作為路徑並將其安全等級指定為不允許。隨後,按一下「套用」,然後按一下「確定」。
對於缺少群組原則編輯器的 Windows 11/10 Home 用戶,您可以選擇使用 Windows 安全性中心。前往應用程式和瀏覽器控制->漏洞保護->漏洞保護設定->程式設定。繼續點擊新增程式進行自訂。

選擇選項「選擇精確的檔案路徑」以導覽至 mshta.exe 檔案位置。打開後,您將看到一個彈出視窗。
在這裡,請確保關閉所有覆蓋預設系統安全措施的 mshta.exe 策略。如果這些設定已顯示為停用,則無需採取進一步措施。

確保 PowerShell 安全的額外安全措施
為了增強對 Remcos RAT 和其他惡意攻擊的防禦能力,請考慮以下額外的預防措施:
- 定期更新:始終保持 Windows 作業系統和應用程式更新到最新版本,因為修補程式通常可以解決漏洞。
- 啟用即時保護:確保您的防毒軟體(如 Microsoft Defender)始終處於活動狀態並處於即時保護模式。
- 教育使用者:在存取您的系統的使用者中推廣識別網路釣魚企圖和謹慎瀏覽行為的重要性的培訓。
- 網路監控:使用工具進行持續的網路監控,以偵測可能顯示 RAT 感染的異常活動。
- 備份:定期備份您的資料以減少潛在攻擊的影響並隨時準備恢復計劃。
透過採用這些策略,您可以保護您的 PowerShell 免受 Remcos RAT 和其他新興威脅的侵害。
常見問題
1.什麼是 Remcos RAT 以及它是如何運作的?
Remcos RAT 是一種遠端存取木馬,它透過網路釣魚攻擊秘密滲透系統,無需下載即可執行進程。它透過利用 mshta.exe 運行可以捕獲敏感資訊和控制設備的 PowerShell 腳本來運行。
2.如何防止 Remcos RAT 存取我的系統?
實作安全措施,例如將 PowerShell 執行原則設定為受限、啟用受限語言模式以及停用 mshta.exe。此外,請保持系統更新並教育使用者有關網路釣魚風險。
3.停用 mshta.exe 安全性嗎?
是的,強烈建議停用 mshta.exe,因為它在現代應用程式中不再常用。透過停用它,您可以顯著降低被 Remcos RAT 等惡意軟體利用的風險。
發佈留言 ▼