Segui
Sintesi
Gli attori delle minacce stanno sempre più abusando di software legittimi di monitoraggio e gestione remota (RMM) per ottenere l’accesso iniziale e mantenere la persistenza negli ambienti presi di mira. Il rapporto evidenzia incidenti in cui gli operatori hanno prima installato uno strumento RMM ‘primario’, come GoTo Resolve o PDQ, dopodiché hanno impiegato ulteriori utilità RMM come ScreenConnect, SimpleHelp o ITarian. Gli installatori iniziali venivano spesso consegnati tramite phishing e ingegneria sociale, ospitati su domini controllati dagli aggressori. Poiché questi sono strumenti commerciali affidabili, il loro abuso può mimetizzarsi nelle normali attività di amministrazione e supportare presenze a lungo termine.
Indagine
Huntress SOC ha condotto una ricerca retrospettiva delle minacce attraverso la telemetria degli endpoint e ha identificato catene di esecuzione che iniziano con installatori consegnati tramite phishing per GoTo Resolve, PDQ o ITarian. Gli analisti hanno poi tracciato i passaggi di persistenza ed espansione, inclusa la creazione di attività pianificate, l’installazione/avvio di servizi e i percorsi di filesystem utilizzati per preparare e distribuire i binari secondari RMM come ScreenConnect e SimpleHelp. Le prove a supporto, inclusi contesti di esecuzione dei processi genitori di VirusTotal e artefatti del filesystem locale, sono state utilizzate per ricostruire il flusso d’intrusione a più stadi.
Mitigazione
Implementare una lista di controllo delle applicazioni consentite e bloccare esplicitamente gli strumenti RMM non approvati, in particolare quelli eseguiti da directory temporanee o scrivibili dagli utenti. Monitorare gli eventi di creazione di attività pianificate e servizi legati a prodotti RMM comuni e esaminare attentamente il traffico in uscita verso domini di nuova registrazione o sospetti. Mantenere un inventario aggiornato del software RMM autorizzato e auditare regolarmente dove, come e da chi questi strumenti sono utilizzati.
Risposta
Se viene identificato un installatore RMM canaglia, isolare l’endpoint, arrestare e rimuovere i servizi e le attività pianificate associati e cancellare i binari non autorizzati. Bloccare o deviare i domini e gli URL controllati dagli aggressori osservati durante la consegna e le comunicazioni C2. Completare una validazione forense completa per confermare che non restano ulteriori persistenze e ottimizzare le rilevazioni per evidenziare schemi di distribuzione ‘primario-secondario RMM’ simili in futuro.
“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc %% Nodes u2013 Actions action_phishing[“<b>Azione</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br /><b>Descrizione</b>: La vittima riceve un’email di phishing con un allegato dannoso come Open Revised Contract.exe”] class action_phishing action action_user_exec[“<b>Azione</b> – <b>T1204.002 Esecuzione Utente: File Dannoso</b><br /><b>Descrizione</b>: La vittima esegue manualmente l’installer RMM scaricato dall’allegato”] class action_user_exec action action_sched_task[“<b>Azione</b> – <b>T1053 Attività/Job Pianificato</b><br /><b>Descrizione</b>: L’attaccante crea un’attività pianificata su Windows per mantenere la persistenza”] class action_sched_task action action_service_exec[“<b>Azione</b> – <b>T1569.002 Servizi di Sistema: Esecuzione di Servizi</b><br /><b>Descrizione</b>: Il servizio RMM dannoso è installato e avviato tramite sc.exe”] class action_service_exec action action_rmt_use[“<b>Azione</b> – <b>T1219 Strumenti di Accesso Remoto</b><br /><b>Descrizione</b>: L’RMM installato fornisce capacità di accesso remoto agli avversari”] class action_rmt_use action action_remote_desktop[“<b>Azione</b> – <b>T1219.002 Strumenti di Accesso Remoto: Software Desktop Remoto</b><br /><b>Descrizione</b>: Un software di desktop remoto specifico (ScreenConnect) è distribuito per il controllo nascosto”] class action_remote_desktop action action_lateral_transfer[“<b>Azione</b> – <b>T1570 Trasferimento Strumenti Laterale</b><br /><b>Descrizione</b>: L’attaccante utilizza l’RMM iniziale per scaricare e installare strumenti RMM aggiuntivi”] class action_lateral_transfer action %% Nodes u2013 Tools / Files tool_malicious_attachment[“<b>Strumento</b> – <b>Nome</b>: Installer RMM Dannoso<br /><b>Tipi di File</b>: .exe (es., Open Revised Contract.exe)”] class tool_malicious_attachment tool tool_goto_resolve[“<b>Strumento</b> – <b>Nome</b>: GoTo Resolve (RMM)<br /><b>Capacità</b>: Gestione e supporto remoto”] class tool_goto_resolve tool tool_pdq[“<b>Strumento</b> – <b>Nome</b>: PDQ Deploy (RMM)<br /><b>Capacità</b>: Distribuzione e esecuzione di software”] class tool_pdq tool tool_itarian[“<b>Strumento</b> – <b>Nome</b>: ITarian (RMM)<br /><b>Capacità</b>: Amministrazione remota”] class tool_itarian tool tool_screenconnect[“<b>Strumento</b> – <b>Nome</b>: ScreenConnect (Desktop Remoto)<br /><b>Capacità</b>: Condivisione dello schermo e controllo remoto”] class tool_screenconnect tool tool_simplehelp[“<b>Strumento</b> – <b>Nome</b>: SimpleHelp (RMM)<br /><b>Capacità</b>: Assistenza remota”] class tool_simplehelp tool process_sc_exe[“<b>Processo</b> – <b>Nome</b>: sc.exe<br /><b>Scopo</b>: Creare e avviare servizi Windows”] class process_sc_exe process %% Connections u2013 Attack Flow action_phishing u002du002d>|consegna allegato| tool_malicious_attachment tool_malicious_attachment u002du002d>|eseguito dalla vittima| action_user_exec action_user_exec u002du002d>|installa| tool_goto_resolve action_user_exec u002du002d>|installa| tool_pdq action_user_exec u002du002d>|installa| tool_itarian tool_goto_resolve u002du002d>|crea| action_sched_task tool_goto_resolve u002du002d>|usa| process_sc_exe process_sc_exe u002du002d>|avvia servizio per| action_service_exec action_service_exec u002du002d>|abilita| action_rmt_use action_rmt_use u002du002d>|fornisce desktop remoto tramite| tool_screenconnect action_rmt_use u002du002d>|mantiene accesso con| tool_goto_resolve action_rmt_use u002du002d>|inizia| action_lateral_transfer action_lateral_transfer u002du002d>|scarica e installa| tool_simplehelp action_lateral_transfer u002du002d>|scarica e installa| tool_screenconnect “
Flusso di attacco
Rilevamenti
Servizio GoTo Resolve avviato tramite sc.exe (tramite riga di comando)
Visualizza
Agente SimpleHelp eseguito dalla directory di accesso remoto JWrapper (tramite creazione processo)
Visualizza
IOC (HashSha256) per rilevare: Una Serie di Sfortunati Eventi (RMM)
Visualizza
Rilevamento di Installazioni RMM Canaglia Indotte dal Phishing [Creazione Processo Windows]
Visualizza
Esecuzione Simulazione
Prerequisito: Il Controllo Pre‑volo Telemetria e Baseline deve aver avuto esito positivo.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrazione e Comandi dell’Attacco:
Un avversario invia un’email di phishing con un allegato chiamato
Open Revised Contract (2).exe. Un utente, credendo che il file sia un contratto legittimo, clicca sull’allegato. L’eseguibile rilascia un MSI RMM malevolo (276SpecialInvitation9756.msi) nella directory%TEMP%e lo lancia tramitemsiexec.exe. L’MSI installa un servizio RMM canaglia che apre una reverse-shell al C2 dell’attaccante. Questo flusso mappa con:- T1203 – Esecuzione Client (l’utente esegue l’EXE allegato).
- T1027.004 – Payload Compilato (l’EXE è un binario malevolo compilato).
- T1218.005 – Msiexec (l’EXE usa
msiexec.exe /iper eseguire l’MSI). - T1554 – Compromissione del binario software del client (l’MSI installa l’RMM canaglia).
Gli eventi di creazione del processo generati sono:
C:Users<user>AppDataLocalTempOpen Revised Contract (2).exe– l’EXE malevolo iniziale.C:WindowsSystem32msiexec.execon riga di comando/i "C:Users<user>AppDataLocalTemp276SpecialInvitation9756.msi" /quiet.
Entrambi i percorsi corrispondono a voci nella regola Sigma e dovrebbero attivare un avviso.
-
Script di Test di Regressione:
# ------------------------------------------------------------ # Script di simulazione – attiva la regola Sigma utilizzando i nomi file esatti definiti nella logica di rilevamento. # ------------------------------------------------------------ $tempDir = "$env:TEMPRMM_Test" New-Item -Path $tempDir -ItemType Directory -Force | Out-Null # 1. Inserire un falso EXE malevolo (simulato copiando notepad.exe) $malExe = "$tempDirOpen Revised Contract (2).exe" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $malExe -Force # 2. Inserire un falso MSI malevolo (simulato copiando qualsiasi MSI – ad es., Windows SDK) $malMsi = "$tempDir276SpecialInvitation9756.msi" # Creare un file MSI vuoto di segnaposto New-Item -Path $malMsi -ItemType File -Force | Out-Null # 3. Eseguire l'EXE – questo a sua volta lancerà msiexec per installare l'MSI Write-Host "[*] Esecuzione EXE malevolo..." Start-Process -FilePath $malExe -Wait # 4. Lanciare direttamente l'MSI tramite msiexec per assicurare il rilevamento (se il passo 3 fallisce) Write-Host "[*] Avvio MSI tramite msiexec..." $msiArgs = "/i `"$malMsi`" /quiet" Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList $msiArgs -Wait Write-Host "[+] Simulazione completata. Controllare il SIEM per gli avvisi sulle due creazioni di processo." # ------------------------------------------------------------ # Pulizia (eseguire separatamente se desiderato) # ------------------------------------------------------------ # Remove-Item -Path $tempDir -Recurse -Force -
Comandi di Pulizia:
# Rimuovere tutti gli artefatti creati dalla simulazione $tempDir = "$env:TEMPRMM_Test" if (Test-Path $tempDir) { Remove-Item -Path $tempDir -Recurse -Force Write-Host "[*] Pulizia completata." } else { Write-Host "[!] Nessun artefatto trovato; nulla da pulire." }