برامج Remcos Rat Malware: تأمين PowerShell ضد الهجمات التي لا يمكن تصنيفها

يجب أن يكون مستخدمو Windows في حالة تأهب قصوى لـ Remcos Access Access Trojan (RAT). تنشر هذه البرامج الضارة حمولة خلسة بشكل لا يصدق من خلال التصيد ، مع عدم وجود تنزيلات مطلوبة. انقر فوق “لا مبالاة” على رابط مضغوط ضار ، وينبع الفئران ، وتنفيذ تطبيقات HTML من خلال PowerShell. من هناك ، يمكنه التقاط لقطات الشاشة ، وضغط المفاتيح السجل ، والتحكم الكامل في نظامك.

إليك كيفية حماية PowerShell الخاص بك من Remcos Rat وأي هجمات أخرى بدون تصنيف.

كيف تخطف Remcos Rat PowerShell لتولي نظامك

كشفت شركة الأمن Qualys عن بساطة هجوم Remcos Rat. يتلقى الضحايا عبارة عن ZIP يحتوي على ملف LNK خادع ، وهو اختصار Windows متنكرا كوثيقة حقيقية. اعتبارًا من مايو 2025 ، يستخدم المهاجمون رسائل البريد الإلكتروني للتصيد الضريبي ، ولكن يمكن أن تستخدم المتغيرات المستقبلية أي شيء يخدعك في النقر على الروابط.

بمجرد فتح ملف LNK ، يقوم بتنشيط تطبيق Windows يسمى mshta.exe (مضيف تطبيق Microsoft HTML). بعد ذلك ، يقوم برنامج PowerShell ، مثل “24.PS1” بإطلاق محمل رمز Shellcode لتنفيذ حمولة Remcos RAT في الوقت الفعلي. لا يقوم الهجوم بتخزين أي ملفات على القرص ولكن يعمل بالكامل في الذاكرة.

أيضًا ، لا تستطيع مكافحة الفيروسات Microsoft Defender الدخول إلى العمل بينما يقوم المهاجمون بإنشاء اتصال TLS عن بُعد. إنهم يربطون حاليًا بخادم أوامر يسمى “ReadyRestaurants dot com.” تم وضع علامة على أنها “غير آمنة” بواسطة Google Chrome. ولكن هذا قد يتغير في المستقبل.

مهم: أصبح Windows PowerShell أداة مفضلة للمجرمين الإلكترونية لتنفيذ هجمات خلسة لم يتم اكتشافها. في الشهر الماضي فقط ، رأينا ذلك مع برنامج Neptune Rat Malware ، الذي احتاجك لتنزيل ملف أولاً.

منع Remcos Rat من التنفيذ في PowerShell

أولاً ، إطلاق PowerShell في وضع المسؤول. بعد ذلك ، تحقق مما إذا كان في وضع غير مقيد أو مقيد.

Get-ExecutionPolicy

إذا تم ضبط جهازك على تقييد (وهو عادة ما يكون الافتراضي) ، فانتقل إلى الخطوة التالية. خلاف ذلك ، قم أولاً بالتبديل من العودة غير المقيدة إلى تقييد. انقر أ عندما يطلب منك تأكيد هذا التغيير.

Set-ExecutionPolicy Restricted

بعد تنفيذ التغيير أعلاه ، اتبع توصيات Qualys وضبط PowerShell على وضع اللغة المقيدة. إنه يمنع الوصول إلى طرق .NET الحساسة وكائنات COM ، والتي غالباً ما تستغل REMCOS RAT والبرامج الضارة المماثلة.

$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"

للحصول على أفضل تأثير ، تأكد من أن هذا الإعداد ينطبق على جميع المستخدمين ، بما في ذلك المستخدمين من غير الأديان ، حتى لو كنت الوحيد الذي يستخدم الكمبيوتر.

Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

يوصي Qualys أيضًا بمنع وسيطات سطر أوامر PowerShell المشبوهة. يمنع هذا البرامج النصية المخفية السلائف ، مثل ملف HTA في هجمات Remcos Rat ، من التنفيذ في نافذة PowerShell للمستخدم.

نظرًا لأن REMCOS RAT يعمل على الاستفادة من PowerShell Shellcode ، فهناك طريقة لاكتشاف هذه الأوامر. ما لم يكن متاحًا بالفعل على جهاز الكمبيوتر الخاص بك ، فقد تحتاج إلى إنشاء مسار تسجيل مفقود يدويًا لـ “PowerShell” و “ScriptBlockLoggging”.

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

الآن ، قم بتمكين الأمر “scriptblocklogging” وتعيين قيمته على 1. هذا يمنع REMCOS RAT والبرامج الضارة الأخرى من تشغيل اللوادر shellcode في PowerShell.

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1

هناك أمر آخر ذي صلة لمنع وسيطات سطر الأوامر المشبوهة باستخدام البرامج النصية المخفية.

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1

من الجيد معرفة: كان الارتفاع الأخير في البرامج النصية التي تم إنشاؤها في الذكاء الاصطناعى في PowerShell عاملاً كبيرًا في مؤلفي البرامج الضارة التي يمكنهم بسهولة إنشاء نصوص جديدة لاستهداف الأنظمة.

ملحوظة: تقترح بعض المواقع الإلكترونية تعطيل PowerShell للمستخدمين من غير الإدارة. لن نذهب إلى هذا الحد الأقصى لأن استخدام حساب Windows غير الإدارة له العديد من المزايا. لأحدها ، فإنه يطرفك من التهديدات الإلكترونية التي تسرق بيانات اعتماد تسجيل الدخول ، مثل NT LAN Manager (NTLM).

تعطيل mshta.exe لمنع Remcos Rat من التنفيذ

يستخدم Remcos Rat تطبيق نظام شائع على جهاز كمبيوتر يعمل بنظام Windows يسمى “mshta.exe”. يقع في “C: \ Windows \ System32.”

في الوقت الحاضر ، تعطيل mshta.exe جيد تمامًا. نادراً ما يتم استخدامه ، إلا في التطبيقات القديمة مثل Internet Explorer ، أو ملفات Macro Office. من Windows 11 الإصدار 24H2 فصاعدًا ، تم إهماله تمامًا.

ملف تطبيق mshta.exe يمكن عرضه في مجلد System32.

نظرًا لأن MSHTA.exe تعمل على تشغيل ملفات تطبيق HTML (HTA) ، يتم استخدامه لتشغيل VBScript أو JavaScript خارج المتصفحات مع امتيازات النظام الكاملة.

في Windows 11 Pro ، اكتب gpedit.msc في أمر التشغيل للذهاب إلى محرر سياسة المجموعة المحلية. اذهب إلى هذا المسار: تكوين الكمبيوتر -> إعدادات Windows -> إعدادات الأمن -> سياسات تقييد البرامج.

في حالة عدم وجود سياسات ، انقر بزر الماوس الأيمن لإنشاء سياسة أمان جديدة عن طريق الاختيار سياسات تقييد البرامج الجديدة. بمجرد إنشائها ، تحت قواعد إضافية، انقر بزر الماوس الأيمن وحدد قاعدة مسار جديدة.

إعادة تسمية هذا المسار إلى C:\Windows\System32\mshta.exe. تعيين مستوى الأمان ل غير مسموح وانقر يتقدم -> نعم.

على أجهزة Home 11/10 ، التي تفتقر إلى محرر سياسة المجموعة ، هناك طريقة أخرى. قم بتشغيل Windows Security ، وانتقل إلى التحكم في التطبيق والمتصفح -> حماية استغلال -> استغلال إعدادات الحماية -> إعدادات البرنامج. هنا ، انقر أضف برنامجًا للتخصيص.