Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les acteurs de la menace distribuent des clients ScreenConnect (surveillance et gestion à distance) malveillants par le biais de leurres d’ingénierie sociale tels que de fausses déclarations de sécurité sociale, des lettres d’invitation et des documents de facture. Les leurres sont diffusés par des e-mails de phishing et des pages web malveillantes, conduisant les victimes à télécharger des exécutables ScreenConnect renommés. Une fois installé, le RMM pirate fournit à l’attaquant un accès distant persistant à l’hôte compromis.
Enquête
Huntress a observé des dizaines d’incidents entre janvier et septembre 2025 où des binaires ScreenConnect renommés ont été exécutés sur des points de terminaison dans plusieurs secteurs. La SOC a collecté des noms de domaine associés, des adresses IP et des hachages de fichiers, notant l’utilisation répétée de services dynamiques DNS et de schémas de dénomination de leurres spécifiques. Une analyse détaillée des journaux a montré que le client malveillant contactait des domaines contrôlés par l’attaquant pour le commandement et le contrôle.
Atténuation
Les organisations doivent renforcer la formation à la sensibilisation à la sécurité pour détecter les fausses déclarations, factures et fichiers d’invitation. Une surveillance continue des outils d’accès à distance, la restriction de l’exécution de binaires RMM non signés et l’audit des connexions réseau vers des domaines malveillants connus sont recommandés. Maintenez les logiciels RMM à jour et autorisez uniquement les instances autorisées.
Réponse
Dès la détection d’un exécutable ScreenConnect renommé, isolez le point de terminaison, collectez le binaire et le trafic réseau associé, et bloquez le domaine C2 au pare-feu. Effectuez une analyse judiciaire pour identifier les mécanismes de persistance et le mouvement latéral, puis remédiez aux comptes compromis et réinitialisez les identifiants.
graph TB %% Définitions des classes classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Définitions des nœuds tech_initial_access_phishing[« <b>Technique</b> – <b>T1566 Phishing</b><br/><b>Description</b> : Les acteurs de la menace envoient des e-mails élaborés se faisant passer pour des relevés de sécurité sociale, des factures ou des invitations, contenant des liens malveillants. »] class tech_initial_access_phishing technique tech_malicious_link[« <b>Technique</b> – <b>T1204.001 Lien Malveillant</b><br/><b>Description</b> : La victime clique sur un lien malveillant qui redirige vers une page de téléchargement. »] class tech_malicious_link technique tech_malicious_file[« <b>Technique</b> – <b>T1204.002 Fichier Malveillant</b><br/><b>Description</b> : La victime télécharge et exécute un fichier exécutable déguisé en document ou en invitation. »] class tech_malicious_file technique op_user_execution((« Exécution par l’Utilisateur »)) class op_user_execution operator tech_masquerading[« <b>Technique</b> – <b>T1036 Masquage</b><br/><b>Sous-techniques</b> : T1036.008 Masquage du type de fichier, T1036.003 Renommage d’utilitaires légitimes, T1036.007 Double extension<br/><b>Description</b> : Le payload est renommé pour paraître légitime et éviter la détection. »] class tech_masquerading technique tech_rat_installation[« <b>Technique</b> – <b>T1219 Installation d’Outil d’Accès à Distance</b><br/><b>Description</b> : Installation d’un client ScreenConnect fournissant des capacités de surveillance et de gestion à distance. »] class tech_rat_installation technique tool_screenconnect[« <b>Outil</b> – <b>Nom</b> : ScreenConnect (ConnectWise Control)<br/><b>Description</b> : Logiciel d’accès à distance utilisé comme RAT. »] class tool_screenconnect tool tech_dynamic_dns[« <b>Technique</b> – <b>T1568.002 Algorithmes de Génération de Domaines</b><br/><b>Description</b> : Utilise des services DNS dynamiques et des domaines générés pour la communication C2. »] class tech_dynamic_dns technique tech_app_layer_dns[« <b>Technique</b> – <b>T1071.004 Protocole de Couche Applicative : DNS</b><br/><b>Description</b> : Le trafic C2 est transmis via des requêtes DNS. »] class tech_app_layer_dns technique tech_app_layer_web[« <b>Technique</b> – <b>T1071.001 Protocole de Couche Applicative : Web</b><br/><b>Description</b> : Le trafic C2 est transmis via des protocoles Web HTTPS. »] class tech_app_layer_web technique tech_web_service_bidirectional[« <b>Technique</b> – <b>T1102.002 Service Web : Communication Bidirectionnelle</b><br/><b>Description</b> : Utilise un service Web pour une communication C2 bidirectionnelle. »] class tech_web_service_bidirectional technique tech_external_remote_services[« <b>Technique</b> – <b>T1133 Services Distants Externes</b><br/><b>Description</b> : Maintient la persistance via des services distants externes permettant un accès continu. »] class tech_external_remote_services technique tech_hide_artifacts[« <b>Technique</b> – <b>T1564.012 Masquage d’Artifacts : Exclusions de Fichiers/Chemins</b><br/><b>Description</b> : Configure des exclusions afin de masquer les fichiers malveillants aux outils de sécurité. »] class tech_hide_artifacts technique tech_passive_dns[« <b>Technique</b> – <b>T1596.001 Recherche dans des Bases de Données Techniques Ouvertes : DNS Passif</b><br/><b>Description</b> : Utilise des données de DNS passif pour découvrir ou enregistrer des domaines malveillants. »] class tech_passive_dns technique %% Connexions tech_initial_access_phishing –>|délivre| op_user_execution op_user_execution –>|utilise| tech_malicious_link op_user_execution –>|utilise| tech_malicious_file op_user_execution –>|mène à| tech_masquerading tech_masquerading –>|permet| tech_rat_installation tech_rat_installation –>|installe| tool_screenconnect tool_screenconnect –>|contacte| tech_dynamic_dns tool_screenconnect –>|utilise| tech_app_layer_dns tool_screenconnect –>|utilise| tech_app_layer_web tool_screenconnect –>|utilise| tech_web_service_bidirectional tech_dynamic_dns –>|prend en charge| tech_external_remote_services tech_external_remote_services –>|active| tech_passive_dns tech_dynamic_dns –>|prend en charge| tech_hide_artifacts
Flux d’attaque
Détections
Logiciel d’accès/gestion à distance alternatif (via système)
Voir
Logiciel d’accès/gestion à distance alternatif (via audit)
Voir
Commandement et contrôle suspect par demande DNS de domaine de premier niveau (TLD) inhabituel (via dns)
Voir
Logiciel d’accès/gestion à distance alternatif (via création_processus)
Voir
IOCs (HashSha256) à détecter : ScreenConnect pirate : Tactiques courantes d’ingénierie sociale que nous avons observées en 2025
Voir
Installation malveillante de ScreenConnect via leurres d’ingénierie sociale [Création de processus Windows]
Voir
Exécution de simulation
Pré-requis : Le contrôle de prévol de télémétrie et de base doit avoir réussi.
Rationnel : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Récit et commandes de l’attaque :
Un attaquant conçoit un e-mail de phishing avec une pièce jointe nommée Social_Security_Statement_redacted.exe qui contient en fait un installateur légitime de ScreenConnect (ou toute charge utile). La victime, croyant qu’il s’agit d’un document financier personnel, double-clique sur le fichier. Le système d’exploitation lance l’exécutable, produisant un événement de création de processus où le champImagese termine par le nom de fichier malveillant. Ce modèle exact correspond à la règle Sigma et devrait déclencher une alerte. -
Script de test de régression :
# -------------------------------------------------------------- # Simulation script – triggers the "Rogue ScreenConnect" rule # -------------------------------------------------------------- # 1. Prepare a benign payload (e.g., calc.exe) and rename it $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:TempSocial_Security_Statement_redacted.exe" Copy-Item -Path $src -Destination $dst -Force # 2. Optionally set hidden attribute to mimic evasion (T1564.004) attrib +h $dst # 3. Execute the renamed payload (simulating user click) Start-Process -FilePath $dst # 4. Wait briefly to ensure logging Start-Sleep -Seconds 5 # 5. Output confirmation Write-Host "Executed $dst – should generate detection telemetry." -
Cleanup Commands:
# Remove the malicious‑looking executable and clear attribute $file = "$env:TempSocial_Security_Statement_redacted.exe" if (Test-Path $file) { attrib -h $file Remove-Item -Path $file -Force Write-Host "Cleanup complete: $file removed." } else { Write-Host "File not found; nothing to clean." }
Fin du rapport