テクノロジーを簡単に言うと

Remcos RATマルウェア: PowerShellをファイルレス攻撃から守る

特集画像: Remcos RATウイルスがWindowsデバイスに影響を与えるのを防ぐ.

Windowsユーザーは、Remcosリモートアクセス型トロイの木馬(RAT)に対して高い警戒を持つべきです。このマルウェアは、フィッシングを通じて非常に巧妙なペイロードを展開し、ダウンロードは不要です。悪意のあるZIPリンクを一度クリックするだけで、RATが動き出し、PowerShellを介してHTMLアプリケーションを実行します。そこから、スクリーンショットをキャプチャし、キーストロークを記録し、システムを完全に制御することができます。

Remcos RATおよびその他のファイルレス攻撃からPowerShellを保護する方法は以下の通りです。

Remcos RATがPowerShellをハイジャックしてシステムを乗っ取る方法

セキュリティ企業Qualysは、Remcos RAT攻撃のシンプルさを明らかにしました。被害者は、実際のドキュメントに偽装されたWindowsショートカットであるLNKファイルを含むZIPを受け取ります。2025年5月現在、攻撃者は税金をテーマにしたフィッシングメールを使用していますが、将来のバリアントはリンクをクリックさせるための何でも使用する可能性があります。

LNKファイルを開くと、mshta.exe(Microsoft HTML Application Host)というWindowsアプリケーションが起動します。次に、「24.ps1」のようなPowerShellスクリプトがシェルコードローダーを起動し、リアルタイムでRemcos RATペイロードを実行します。この攻撃はディスク上にファイルを保存せず、完全にメモリ内で動作します。

また、Microsoft Defenderアンチウイルスは、攻撃者がリモートTLS接続を作成している間に介入できません。現在、攻撃者は「ReadyRestaurants DOT com」と呼ばれるコマンドサーバーにリンクしています。これはGoogle Chromeによって「安全ではない」とマークされています。しかし、これは将来的に変わる可能性があります。

重要: Windows PowerShellは、サイバー犯罪者が検出されずに巧妙な攻撃を実行するためのお気に入りのツールとなっています。先月、ファイルを最初にダウンロードする必要があったNeptune RATマルウェアでこれを見ました。

PowerShellでRemcos RATの実行を防ぐ

まず、管理者モードでPowerShellを起動します。その後、制限なしまたは制限ありのモードになっているかを確認します。

Get-ExecutionPolicy

デバイスが制限されている(通常はデフォルト)場合は、次のステップに進みます。そうでない場合は、まず制限なしから制限に戻します。この変更を確認するように求められたら、Aをクリックします。

Set-ExecutionPolicy Restricted

PowerShellでの「制限なし」実行ポリシーを「制限あり」に変更し、すべてのユーザーに対して確保する.

上記の変更を実施した後、Qualysの推奨に従ってPowerShellを制約付き言語モードに設定します。これにより、Remcos RATや類似のマルウェアがしばしば悪用する敏感な.NETメソッドやCOMオブジェクトへのアクセスがブロックされます。

$ExecutionContext.SessionState.LanguageMode ="ConstrainedLanguage"

最良の効果を得るために、この設定がすべてのユーザーに適用されることを確認してください。管理者以外のユーザーも含めて、たとえあなたがPCを唯一の使用者であってもです。

Set-ExecutionPolicy-Scope LocalMachine -ExecutionPolicy Restricted -Force

PowerShellで「制約付き言語モード」を設定する.

Qualysはまた、疑わしいPowerShellコマンドライン引数をブロックすることを推奨しています。これにより、Remcos RAT攻撃のHTAファイルのような前兆の隠れたスクリプトがユーザーのPowerShellウィンドウで実行されるのを防ぎます。

Remcos RATはPowerShellシェルコードを利用するため、これらのコマンドを見つける方法があります。PCにすでに存在しない場合は、「PowerShell」と「ScriptBlockLogging」のための欠落しているレジストリパスを手動で作成する必要があります。

New-Item-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell"-Force  
New-Item-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"-Force  
Set-ItemProperty-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"-Name"EnableScriptBlockLogging"-Value1

PowerShellで「PowerShell」と「ScriptBlockLogging」のための欠落しているレジストリパスを作成する.

次に、「ScriptBlockLogging」コマンドを有効にし、その値を1に設定します。これにより、Remcos RATや他のマルウェアがPowerShellでシェルコードローダーを実行するのを防ぎます。

Set-ItemProperty-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"-Name"EnableScriptBlockLogging"-Value1

PowerShellで「ScriptBlockLogging」値が1に設定されています。これにより、不要なスクリプトがブロックされます.

隠れたスクリプトを使用して疑わしいコマンドライン引数をブロックするための別の関連コマンドがあります。

New-Item-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell"-Name"CommandLineFiltering"-Force  
Set-ItemProperty-Path"HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering"-Name"EnableCommandLineFiltering"-Value1

PowerShellで「コマンドラインフィルタリング」が有効になっています

知っておくべきこと: PowerShellにおけるAI生成スクリプトの最近の増加は、マルウェア作成者がシステムをターゲットにする新しいスクリプトを簡単に作成できる大きな要因となっています。

注意: 一部のウェブサイトでは、非管理者ユーザーのためにPowerShellを無効にすることを提案しています。私たちはその極端な手段には行きません。非管理者のWindowsアカウントを使用することには多くの利点があります。たとえば、NT LAN Manager(NTLM)などのログイン資格情報を盗むサイバー脅威からあなたを守ります。

Remcos RATの実行を防ぐためにMSHTA.exeを無効にする

Remcos RATは、Windows PC上の一般的なシステムアプリケーションである「mshta.exe」を使用します。これは「C:\Windows\System32」にあります。

現在、mshta.exeを無効にすることは完全に問題ありません。これは、Internet ExplorerやOfficeマクロファイルなどのレガシーアプリケーションで非常にまれに使用されるだけです。Windows 11バージョン24H2以降、完全に廃止されています。

System32フォルダーで表示可能なmshta.exeアプリケーションファイル.

mshta.exeはHTMLアプリケーション(HTA)ファイルを操作するため、ブラウザの外でVBScriptやJavaScriptをフルシステム権限で実行するために使用されます。

Windows 11 Proでは、実行コマンドにgpedit.mscと入力してローカルグループポリシーエディタに移動します。このパスをたどります: コンピュータの構成 -> Windowsの設定 -> セキュリティ設定 -> ソフトウェア制限ポリシー

Win 11 Proのローカルグループポリシーエディタで「ソフトウェア制限ポリシー」を表示する.

ポリシーが存在しない場合は、右クリックして新しいソフトウェア制限ポリシーを選択して新しいセキュリティポリシーを作成します。作成されたら、追加ルールの下で右クリックし、新しいパスルールを選択します。

グループポリシーセキュリティ設定の「追加ルール」に「新しいパスルール」を追加するために右クリックする.

このパスの名前をC:\Windows\System32\mshta.exeに変更します。セキュリティレベルを無効に設定し、適用 -> OKをクリックします。

Windows 11/10 Homeデバイスでは、グループポリシーエディタがないため、別の方法があります。Windowsセキュリティを起動し、アプリとブラウザのコントロール -> 脆弱性保護 -> 脆弱性保護設定 -> プログラム設定に移動します。ここで、カスタマイズするプログラムを追加をクリックします。

Windows 11 Homeで脆弱性保護の下に「カスタマイズするプログラムを追加」をクリックする.

上記の操作で2つのオプションが表示されます。正確なファイルパスを選択をクリックします。ファイルエクスプローラーウィンドウが開きます。mshta.exeファイルの場所に移動し、別のポップアップウィンドウで開きます。

今、mshta.exeのポリシーをすべてオフに切り替えるだけです。これらがすでにオフになっている場合は、何もする必要はありません。

Windowsセキュリティでmshta.exeのすべてのポリシーをオフに切り替える.

関連: Windowsセキュリティがデバイスで機能しない場合の問題を解決します。

PowerShellでのリモートエクスプロイトを防ぐための他の方法

Remcos RATやその他のリモートエクスプロイトがPowerShellで実行されるのを防ぐためにできる他のことは以下の通りです。

  • Microsoft DefenderのようなWindowsエンドポイント保護ソフトウェアに投資する。これはWindowsセキュリティとは異なる製品です。
  • システムを定期的に更新およびパッチを適用する。Windows 11のバージョン24H2に移行することで、これらの最新の脅威に対するタイムリーなパッチが提供されます。
  • Windowsデバイスで使用されるウェブブラウザのメールに対して、メールフィルタリングとフィッシング保護を実装する。

内容

  1. Remcos RATがPowerShellをハイジャックしてシステムを乗っ取る方法
  2. PowerShellでRemcos RATの実行を防ぐ
  3. Remcos RATの実行を防ぐためにMSHTA.exeを無効にする
  4. PowerShellでのリモートエクスプロイトを防ぐための他の方法
Ello-dashboardprofile

Ello: プライベートソーシャルネットワークの探求

Bitdefenderがインストールされない:使用できる3つの簡単な解決策

Bitdefenderの修正についてもっと知る

GoogleがInboxを終了し、6ヶ月の猶予を与える

アスペクト比-16x9

ビデオのアスペクト比を理解する

タグでファイルを整理するファイルマネージャー:トップ5

Wake on LANが動作しない修正

Wake On LANがWindowsで動作しない [解決済み]

easycap-mac-mspacman-console

EasyCAPを使用してMacでVHSとコンソールをキャプチャする

GoogleはWindows 11アップグレードの適格性を判断する新しいChrome機能をテスト中