Seguir
Resumen
Los actores de amenazas están abusando cada vez más del software legítimo de monitoreo y gestión remota (RMM) para obtener acceso inicial y mantener la persistencia en entornos objetivo. El informe destaca incidentes donde los operadores primero instalaron una herramienta RMM “primaria”, como GoTo Resolve o PDQ, y luego continuaron desplegando utilidades RMM adicionales como ScreenConnect, SimpleHelp o ITarian. Los instaladores iniciales fueron comúnmente entregados a través de phishing y ingeniería social, a menudo alojados en dominios controlados por atacantes. Como se trata de herramientas comerciales confiables, su abuso puede mezclarse con la actividad administrativa normal y sostener puntos de apoyo duraderos.
Investigación
SOC Huntress llevó a cabo una búsqueda retrospectiva de amenazas a través de la telemetría de endpoints y identificó cadenas de ejecución que comenzaban con instaladores entregados por phishing para GoTo Resolve, PDQ o ITarian. Los analistas luego rastrearon los pasos de persistencia y expansión, incluidos la creación de tareas programadas, la instalación/inicio de servicios y las rutas del sistema de archivos utilizadas para escenar y desplegar binarios RMM secundarios como ScreenConnect y SimpleHelp. Se utilizó evidencia de apoyo —incluyendo el contexto de ejecución de procesos padre de VirusTotal y artefactos locales del sistema de archivos— para reconstruir el flujo de intrusión multi-etapa.
Mitigación
Implemente una lista de aplicaciones permitidas y bloquee explícitamente las herramientas RMM no aprobadas, particularmente aquellas ejecutadas desde directorios temporales o escribibles por el usuario. Monitoree los eventos de creación de tareas programadas y servicios relacionados con productos RMM comunes y escrutine el tráfico saliente hacia dominios registrados recientemente o sospechosos. Mantenga un inventario actualizado del software RMM autorizado y audite rutinariamente dónde, cómo y por quién se utilizan estas herramientas.
Respuesta
Si se identifica un instalador RMM malicioso, aísle el endpoint, detenga y elimine los servicios y tareas programadas asociadas, y elimine los binarios no autorizados. Bloquee o desvíe dominios y URLs controlados por atacantes observados durante la entrega y las comunicaciones C2. Complete una validación forense completa para confirmar que no queda persistencia adicional, y ajuste las detecciones para reflejar patrones de despliegue “primario a secundario” RMM similares en el futuro.
«graph TB %% Definiciones de clase classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc %% Nodos u2013 Acciones action_phishing[«<b>Acción</b> – <b>T1566.001 Phishing: Adjunto de Spearphishing</b><br /><b>Descripción</b>: La víctima recibe un correo electrónico de phishing con un adjunto malicioso como Open Revised Contract.exe»] class action_phishing action action_user_exec[«<b>Acción</b> – <b>T1204.002 Ejecución de Usuario: Archivo Malicioso</b><br /><b>Descripción</b>: La víctima ejecuta manualmente el instalador RMM descargado del adjunto»] class action_user_exec action action_sched_task[«<b>Acción</b> – <b>T1053 Tarea/Trabajo Programado</b><br /><b>Descripción</b>: El atacante crea una tarea programada en Windows para mantener la persistencia»] class action_sched_task action action_service_exec[«<b>Acción</b> – <b>T1569.002 Servicios del Sistema: Ejecución de Servicio</b><br /><b>Descripción</b>: El servicio RMM malicioso se instala y se inicia a través de sc.exe»] class action_service_exec action action_rmt_use[«<b>Acción</b> – <b>T1219 Herramientas de Acceso Remoto</b><br /><b>Descripción</b>: El RMM instalado proporciona capacidades de acceso remoto al adversario»] class action_rmt_use action action_remote_desktop[«<b>Acción</b> – <b>T1219.002 Herramientas de Acceso Remoto: Software de Desktop Remoto</b><br /><b>Descripción</b>: Se despliega software de desktop remoto específico (ScreenConnect) para control encubierto»] class action_remote_desktop action action_lateral_transfer[«<b>Acción</b> – <b>T1570 Transferencia de Herramientas Laterales</b><br /><b>Descripción</b>: El atacante utiliza el RMM inicial para descargar e instalar herramientas RMM adicionales»] class action_lateral_transfer action %% Nodos u2013 Herramientas / Archivos tool_malicious_attachment[«<b>Herramienta</b> – <b>Nombre</b>: Instalador de RMM Malicioso<br /><b>Tipos de Archivo</b>: .exe (p. ej., Open Revised Contract.exe)»] class tool_malicious_attachment tool tool_goto_resolve[«<b>Herramienta</b> – <b>Nombre</b>: GoTo Resolve (RMM)<br /><b>Capacidad</b>: Gestión y soporte remoto»] class tool_goto_resolve tool tool_pdq[«<b>Herramienta</b> – <b>Nombre</b>: PDQ Deploy (RMM)<br /><b>Capacidad</b>: Despliegue y ejecución de software»] class tool_pdq tool tool_itarian[«<b>Herramienta</b> – <b>Nombre</b>: ITarian (RMM)<br /><b>Capacidad</b>: Administración remota»] class tool_itarian tool tool_screenconnect[«<b>Herramienta</b> – <b>Nombre</b>: ScreenConnect (Desktop Remoto)<br /><b>Capacidad</b>: Compartir pantalla y control remoto»] class tool_screenconnect tool tool_simplehelp[«<b>Herramienta</b> – <b>Nombre</b>: SimpleHelp (RMM)<br /><b>Capacidad</b>: Asistencia remota»] class tool_simplehelp tool process_sc_exe[«<b>Proceso</b> – <b>Nombre</b>: sc.exe<br /><b>Propósito</b>: Crear e iniciar servicios de Windows»] class process_sc_exe process %% Conexiones u2013 Flujo de Ataque action_phishing u002du002d>|entrega el adjunto| tool_malicious_attachment tool_malicious_attachment u002du002d>|ejecutado por la víctima| action_user_exec action_user_exec u002du002d>|instala| tool_goto_resolve action_user_exec u002du002d>|instala| tool_pdq action_user_exec u002du002d>|instala| tool_itarian tool_goto_resolve u002du002d>|crea| action_sched_task tool_goto_resolve u002du002d>|utiliza| process_sc_exe process_sc_exe u002du002d>|inicia servicio para| action_service_exec action_service_exec u002du002d>|habilita| action_rmt_use action_rmt_use u002du002d>|proporciona desktop remoto a través de| tool_screenconnect action_rmt_use u002du002d>|mantiene el acceso con| tool_goto_resolve action_rmt_use u002du002d>|inicia| action_lateral_transfer action_lateral_transfer u002du002d>|descarga e instala| tool_simplehelp action_lateral_transfer u002du002d>|descarga e instala| tool_screenconnect «
Flujo de Ataque
Detecciones
Servicio GoTo Resolve Iniciado vía sc.exe (a través de línea de comandos)
Ver
Agente SimpleHelp Ejecutado desde el Directorio de Acceso Remoto de JWrapper (a través de creación de procesos)
Ver
IOCs (HashSha256) para detectar: Una Serie de Desafortunados Eventos (RMM)
Ver
Detección de Instalaciones RMM Maliciosas Inducidas por Phishing [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Revisión Previa de Telemetría y Línea Base debe haber sido superada.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un adversario envía un correo electrónico de phishing con un archivo adjunto llamado
Open Revised Contract (2).exe. Un usuario, creyendo que el archivo es un contrato legítimo, hace clic en el archivo adjunto. El ejecutable deja caer un MSI RMM malicioso (276SpecialInvitation9756.msi) into the%TEMP%y lo lanza a través demsiexec.exe. El MSI instala un servicio RMM malicioso que abre un reverso de shell hacia el C2 del atacante. Este flujo se mapea a:- T1203 – Ejecución del cliente (el usuario ejecuta el EXE adjunto).
- T1027.004 – Carga útil compilada (el EXE es un binario malicioso compilado).
- T1218.005 – Msiexec (el EXE utiliza
msiexec.exe /ipara ejecutar el MSI). - T1554 – Compromiso del binario de software del cliente (el MSI instala el RMM malicioso).
Los eventos de creación de procesos generados son:
C:Usuarios<usuario>AppDataLocalTempOpen Revised Contract (2).exe– el EXE malicioso inicial.C:WindowsSystem32msiexec.execon la línea de comandos/i "C:Usuarios<usuario>AppDataLocalTemp276SpecialInvitation9756.msi" /quiet.
Ambas rutas coinciden con las entradas en la regla Sigma y deberían disparar una alerta.
-
Script de Prueba de Regresión:
# ------------------------------------------------------------ # Script de simulación – activa la regla Sigma usando los # nombres de archivo exactos definidos en la lógica de detección. # ------------------------------------------------------------ $tempDir = "$env:TEMPRMM_Test" New-Item -Path $tempDir -ItemType Directory -Force | Out-Null # 1. Dejar caer un EXE malicioso falso (simulado copiando notepad.exe) $malExe = "$tempDirOpen Revised Contract (2).exe" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $malExe -Force # 2. Dejar caer un MSI malicioso falso (simulado copiando cualquier MSI – e.g., Windows SDK) $malMsi = "$tempDir276SpecialInvitation9756.msi" # Creando un archivo MSI de marcador de posición vacío New-Item -Path $malMsi -ItemType File -Force | Out-Null # 3. Ejecutar el EXE – que a su vez lanzará msiexec para instalar el MSI Write-Host "[*] Ejecutando EXE malicioso..." Start-Process -FilePath $malExe -Wait # 4. Lanzar directamente el MSI a través de msiexec para asegurar la detección (si el paso 3 falló) Write-Host "[*] Lanzando MSI vía msiexec..." $msiArgs = "/i `"$malMsi`" /quiet" Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList $msiArgs -Wait Write-Host "[+] Simulación completa. Verifique SIEM para alertas sobre las dos creaciones de procesos." # ------------------------------------------------------------ # Limpieza (ejecutar por separado si se desea) # ------------------------------------------------------------ # Remove-Item -Path $tempDir -Recurse -Force -
Comandos de Limpieza:
# Eliminar todos los artefactos creados por la simulación $tempDir = "$env:TEMPRMM_Test" if (Test-Path $tempDir) { Remove-Item -Path $tempDir -Recurse -Force Write-Host "[*] Limpieza completada." } else { Write-Host "[!] No se encontraron artefactos; nada que limpiar." }