SOC Prime Bias: Médio

06 Jan 2026 18:29
newspaper icon Huntress

Uma Série de Eventos Desafortunados (RMM)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Uma Série de Eventos Desafortunados (RMM)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Atores de ameaça estão cada vez mais fazendo mau uso de softwares legítimos de monitoramento e gerenciamento remoto (RMM) para obter acesso inicial e manter persistência em ambientes-alvo. O relatório destaca incidentes onde os operadores primeiro instalaram uma ferramenta RMM “primária” — como GoTo Resolve ou PDQ — e, em seguida, procederam com a implantação de utilitários RMM adicionais como ScreenConnect, SimpleHelp ou ITarian. Os instaladores iniciais eram comumente entregues por meio de phishing e engenharia social, geralmente hospedados em domínios controlados por atacantes. Como são ferramentas comerciais confiáveis, seu abuso pode se misturar com atividades normais de administração e suportar pontos de apoio de longa duração.

Investigação

O SOC da Huntress conduziu caça a ameaças retrospectiva em toda a telemetria de endpoints e identificou cadeias de execução começando com instaladores entregues por phishing para GoTo Resolve, PDQ ou ITarian. Os analistas então rastrearam as etapas de persistência e expansão, incluindo a criação de tarefas agendadas, instalação/início de serviços e caminhos de sistema de arquivos usados para estagiar e implantar binários RMM secundários como ScreenConnect e SimpleHelp. Evidências de suporte — incluindo o contexto de execução do processo pai do VirusTotal e artefatos do sistema de arquivos local — foram usadas para reconstruir o fluxo de intrusão em várias etapas.

Mitigação

Implemente a elaboração de listas de permissões para aplicativos e bloqueie explicitamente ferramentas RMM não aprovadas, particularmente aquelas executadas a partir de diretórios temporários ou graváveis pelo usuário. Monitore eventos de criação de tarefas agendadas e serviços vinculados a produtos RMM comuns e examine o tráfego de saída para domínios recém-registrados ou suspeitos. Mantenha um inventário atualizado de softwares RMM sancionados e audite rotineiramente onde, como e por quem essas ferramentas são usadas.

Resposta

Se um instalador RMM desonesto for identificado, isole o endpoint, pare e remova serviços e tarefas agendadas associadas, e exclua os binários não autorizados. Bloqueie ou redirecione domínios e URLs controlados pelo atacante observados durante a entrega e comunicações C2. Faça uma validação forense completa para confirmar que não restaram persistências adicionais e ajuste as detecções para revelar padrões semelhantes de implantação “primária para secundária de RMM” no futuro.

“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc %% Nodes u2013 Actions action_phishing[“<b>Ação</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br /><b>Descrição</b>: A vítima recebe um email de phishing com um anexo malicioso como Open Revised Contract.exe”] class action_phishing action action_user_exec[“<b>Ação</b> – <b>T1204.002 Executar pelo Usuário: Arquivo Malicioso</b><br /><b>Descrição</b>: A vítima executa manualmente o instalador RMM baixado do anexo”] class action_user_exec action action_sched_task[“<b>Ação</b> – <b>T1053 Tarefa/Trabalho Agendado</b><br /><b>Descrição</b>: O atacante cria uma tarefa agendada do Windows para manter a persistência”] class action_sched_task action action_service_exec[“<b>Ação</b> – <b>T1569.002 Serviços do Sistema: Execução de Serviço</b><br /><b>Descrição</b>: O serviço RMM malicioso é instalado e iniciado via sc.exe”] class action_service_exec action action_rmt_use[“<b>Ação</b> – <b>T1219 Ferramentas de Acesso Remoto</b><br /><b>Descrição</b>: RMM instalado fornece capacidades de acesso remoto ao adversário”] class action_rmt_use action action_remote_desktop[“<b>Ação</b> – <b>T1219.002 Ferramentas de Acesso Remoto: Software de Desktop Remoto</b><br /><b>Descrição</b>: Software específico de desktop remoto (ScreenConnect) é implantado para controle disfarçado”] class action_remote_desktop action action_lateral_transfer[“<b>Ação</b> – <b>T1570 Transferência de Ferramentas Laterais</b><br /><b>Descrição</b>: O atacante utiliza o RMM inicial para baixar e instalar ferramentas adicionais de RMM”] class action_lateral_transfer action %% Nodes u2013 Tools / Files tool_malicious_attachment[“<b>Ferramenta</b> – <b>Nome</b>: Instalador RMM Malicioso<br /><b>Tipos de Arquivo</b>: .exe (ex., Open Revised Contract.exe)”] class tool_malicious_attachment tool tool_goto_resolve[“<b>Ferramenta</b> – <b>Nome</b>: GoTo Resolve (RMM)<br /><b>Capacidade</b>: Gestão e suporte remoto”] class tool_goto_resolve tool tool_pdq[“<b>Ferramenta</b> – <b>Nome</b>: PDQ Deploy (RMM)<br /><b>Capacidade</b>: Implantação e execução de software”] class tool_pdq tool tool_itarian[“<b>Ferramenta</b> – <b>Nome</b>: ITarian (RMM)<br /><b>Capacidade</b>: Administração remota”] class tool_itarian tool tool_screenconnect[“<b>Ferramenta</b> – <b>Nome</b>: ScreenConnect (Desktop Remoto)<br /><b>Capacidade</b>: Compartilhamento de tela e controle remoto”] class tool_screenconnect tool tool_simplehelp[“<b>Ferramenta</b> – <b>Nome</b>: SimpleHelp (RMM)<br /><b>Capacidade</b>: Assistência remota”] class tool_simplehelp tool process_sc_exe[“<b>Processo</b> – <b>Nome</b>: sc.exe<br /><b>Propósito</b>: Criar e iniciar serviços do Windows”] class process_sc_exe process %% Connections u2013 Attack Flow action_phishing u002du002d>|envia anexo| tool_malicious_attachment tool_malicious_attachment u002du002d>|executado pela vítima| action_user_exec action_user_exec u002du002d>|instala| tool_goto_resolve action_user_exec u002du002d>|instala| tool_pdq action_user_exec u002du002d>|instala| tool_itarian tool_goto_resolve u002du002d>|cria| action_sched_task tool_goto_resolve u002du002d>|usa| process_sc_exe process_sc_exe u002du002d>|inicia serviço para| action_service_exec action_service_exec u002du002d>|habilita| action_rmt_use action_rmt_use u002du002d>|fornece desktop remoto via| tool_screenconnect action_rmt_use u002du002d>|mantém acesso com| tool_goto_resolve action_rmt_use u002du002d>|inicia| action_lateral_transfer action_lateral_transfer u002du002d>|baixa e instala| tool_simplehelp action_lateral_transfer u002du002d>|baixa e instala| tool_screenconnect “

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-vôo de Telemetria e Referência deve ter sido aprovada.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) designada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos de Ataque:

    Um adversário envia um email de phishing com um anexo chamado Open Revised Contract (2).exe. Um usuário, acreditando que o arquivo é um contrato legítimo, clica no anexo. O executável derruba um MSI RMM malicioso (276SpecialInvitation9756.msi) no diretório %TEMP% e o lança via msiexec.exe. O MSI instala um serviço RMM desonesto que abre um shell reverso para o C2 do atacante. Este fluxo mapeia para:

    1. T1203 – Execução de cliente (usuário executa o EXE anexado).
    2. T1027.004 – Payload compilado (o EXE é um binário malicioso compilado).
    3. T1218.005 – Msiexec (o EXE usa msiexec.exe /i para executar o MSI).
    4. T1554 – Compromisso do binário de software do cliente (o MSI instala o RMM desonesto).

    Os eventos de criação de processo gerados são:

    • C:Users<user>AppDataLocalTempOpen Revised Contract (2).exe – o EXE malicioso inicial.
    • C:WindowsSystem32msiexec.exe com linha de comando /i "C:Users<user>AppDataLocalTemp276SpecialInvitation9756.msi" /quiet.

    Ambos os caminhos correspondem a entradas na regra Sigma e devem disparar um alerta.

  • Script de Teste de Regressão:

    # ------------------------------------------------------------
# Script de simulação – aciona a regra Sigma usando os
# nomes de arquivos exatos definidos na lógica de detecção.
# ------------------------------------------------------------
$tempDir = "$env:TEMPRMM_Test"
New-Item -Path $tempDir -ItemType Directory -Force | Out-Null

# 1. Derrubar EXE malicioso falso (simulado copiando notepad.exe)
$malExe = "$tempDirOpen Revised Contract (2).exe"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $malExe -Force

# 2. Derrubar MSI malicioso falso (simulado copiando qualquer MSI – por exemplo, Windows SDK)
$malMsi = "$tempDir276SpecialInvitation9756.msi"
# Criando um arquivo MSI de espaço reservado vazio
New-Item -Path $malMsi -ItemType File -Force | Out-Null

# 3. Executar o EXE – ele por sua vez lançará o msiexec para instalar o MSI
Write-Host "[*] Executando EXE malicioso..."
Start-Process -FilePath $malExe -Wait

# 4. Lançar diretamente o MSI via msiexec para garantir a detecção (se o passo 3 falhar)
Write-Host "[*] Lançando MSI via msiexec..."
$msiArgs = "/i `"$malMsi`" /quiet"
Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList $msiArgs -Wait

Write-Host "[+] Simulação completa. Verifique o SIEM para alertas sobre as duas criações de processos."
# ------------------------------------------------------------
# Limpeza (executar separadamente, se desejado)
# ------------------------------------------------------------
# Remove-Item -Path $tempDir -Recurse -Force

  • Comandos de Limpeza:

    # Remove todos os artefatos criados pela simulação
$tempDir = "$env:TEMPRMM_Test"
if (Test-Path $tempDir) {
    Remove-Item -Path $tempDir -Recurse -Force
    Write-Host "[*] Limpeza concluída."
} else {
    Write-Host "[!] Nenhum artefato encontrado; nada para limpar."
}

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente