SOC Prime Bias: Medium

06 Jan. 2026 18:29
newspaper icon Huntress

Eine Reihe von unglücklichen (RMM) Ereignissen

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Eine Reihe von unglücklichen (RMM) Ereignissen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Bedrohungsakteure missbrauchen zunehmend legitime Software für Fernüberwachung und -verwaltung (RMM), um anfänglichen Zugriff zu erhalten und Beständigkeit in Zielumgebungen zu bewahren. Der Bericht hebt Vorfälle hervor, bei denen Operatoren zunächst ein „primäres“ RMM-Tool wie GoTo Resolve oder PDQ installierten und dann zusätzliche RMM-Dienstprogramme wie ScreenConnect, SimpleHelp oder ITarian bereitstellten. Die anfänglichen Installer wurden häufig durch Phishing und soziale Ingenieurtechniken bereitgestellt, oft auf von Angreifern kontrollierten Domains gehostet. Da es sich um vertrauenswürdige kommerzielle Tools handelt, kann ihr Missbrauch in normale Admin-Aktivitäten übergehen und langandauernde Stützpunkte unterstützen.

Untersuchung

Das Huntress-SOC führte eine rückblickende Bedrohungssuche über Endpunktelemetrie durch und identifizierte Ausführungsketten, die mit Phishing-bereitgestellten Installern für GoTo Resolve, PDQ oder ITarian begannen. Analysten verfolgten dann die Schritte zur Beständigkeit und Expansion, einschließlich der Erstellung geplanter Aufgaben, der Installation/Starts von Diensten und der Dateisystempfade, die zur Inszenierung und Bereitstellung sekundärer RMM-Binärdateien wie ScreenConnect und SimpleHelp verwendet wurden. Unterstützende Beweise – einschließlich VirusTotal-Parent-Process-Ausführungskontext und lokale Dateisystemartefakte – wurden verwendet, um den mehrstufigen Eindringungsfluss zu rekonstruieren.

Minderung

Implementieren Sie eine Anwendungs-Whitelist und blockieren Sie ausdrücklich nicht genehmigte RMM-Tools, insbesondere solche, die von temporären oder benutzerbeschreibbaren Verzeichnissen aus ausgeführt werden. Überwachen Sie geplante Aufgaben und Ereignisse zur Dienstkreierung, die mit allgemeinen RMM-Produkten verbunden sind, und prüfen Sie den ausgehenden Datenverkehr zu neu registrierten oder verdächtigen Domains. Führen Sie ein aktuelles Verzeichnis genehmigter RMM-Software und führen Sie regelmäßig Audits durch, wo, wie und von wem diese Tools verwendet werden.

Antwort

Wird ein bösartiger RMM-Installer identifiziert, isolieren Sie den Endpunkt, stoppen und entfernen Sie zugehörige Dienste und geplante Aufgaben und löschen Sie die unautorisierten Binärdateien. Blockieren oder surfen Sie auf Angreifer-kontrollierten Domains und URLs, die während der Bereitstellung und C2-Kommunikation beobachtet wurden. Führen Sie eine vollständige forensische Validierung durch, um zu bestätigen, dass keine zusätzliche Beständigkeit verbleibt, und passen Sie Erkennungen weiterhin an, um ähnliche „primäre-zu-sekundäre RMM“-Bereitstellungsmuster zu erkennen.

„graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc %% Knoten u2013 Aktionen action_phishing[„<b>Aktion</b> – <b>T1566.001 Phishing: Spearphishing Anhang</b><br /><b>Beschreibung</b>: Opfer erhält eine Phishing-E-Mail mit einem bösartigen Anhang wie Open Revised Contract.exe“] class action_phishing action action_user_exec[„<b>Aktion</b> – <b>T1204.002 Benutzer-Ausführung: Bösartige Datei</b><br /><b>Beschreibung</b>: Opfer führt manuell den heruntergeladenen RMM-Installer aus dem Anhang aus“] class action_user_exec action action_sched_task[„<b>Aktion</b> – <b>T1053 Geplanter Task/Job</b><br /><b>Beschreibung</b>: Angreifer erstellt einen Windows-Task, um die Persistenz aufrechtzuerhalten“] class action_sched_task action action_service_exec[„<b>Aktion</b> – <b>T1569.002 Systemdienste: Dienstausführung</b><br /><b>Beschreibung</b>: Bösartiger RMM-Dienst wird über sc.exe installiert und gestartet“] class action_service_exec action action_rmt_use[„<b>Aktion</b> – <b>T1219 Fernzugriffswerkzeuge</b><br /><b>Beschreibung</b>: Installiertes RMM bietet dem Angreifer Fernzugriffsmöglichkeiten“] class action_rmt_use action action_remote_desktop[„<b>Aktion</b> – <b>T1219.002 Fernzugriffswerkzeuge: Remote Desktop Software</b><br /><b>Beschreibung</b>: Spezifische Remote-Desktop-Software (ScreenConnect) wird für verdeckte Kontrolle bereitgestellt“] class action_remote_desktop action action_lateral_transfer[„<b>Aktion</b> – <b>T1570 Seitwärts-Werkzeugübertragung</b><br /><b>Beschreibung</b>: Angreifer benutzt das initiale RMM, um zusätzliche RMM-Werkzeuge herunterzuladen und zu installieren“] class action_lateral_transfer action %% Knoten u2013 Werkzeuge / Dateien tool_malicious_attachment[„<b>Werkzeug</b> – <b>Name</b>: Bösartiger RMM-Installer<br /><b>Dateitypen</b>: .exe (z.B., Open Revised Contract.exe)“] class tool_malicious_attachment tool tool_goto_resolve[„<b>Werkzeug</b> – <b>Name</b>: GoTo Resolve (RMM)<br /><b>Fähigkeit</b>: Fernverwaltung und Support“] class tool_goto_resolve tool tool_pdq[„<b>Werkzeug</b> – <b>Name</b>: PDQ Deploy (RMM)<br /><b>Fähigkeit</b>: Softwarebereitstellung und -ausführung“] class tool_pdq tool tool_itarian[„<b>Werkzeug</b> – <b>Name</b>: ITarian (RMM)<br /><b>Fähigkeit</b>: Fernadministration“] class tool_itarian tool tool_screenconnect[„<b>Werkzeug</b> – <b>Name</b>: ScreenConnect (Fernzugriff)<br /><b>Fähigkeit</b>: Bildschirmfreigabe und Fernsteuerung“] class tool_screenconnect tool tool_simplehelp[„<b>Werkzeug</b> – <b>Name</b>: SimpleHelp (RMM)<br /><b>Fähigkeit</b>: Fernunterstützung“] class tool_simplehelp tool process_sc_exe[„<b>Prozess</b> – <b>Name</b>: sc.exe<br /><b>Zweck</b>: Erstellen und Starten von Windows-Diensten“] class process_sc_exe process %% Verbindungen u2013 Angriffsablauf action_phishing u002du002d>|liefert Anhang| tool_malicious_attachment tool_malicious_attachment u002du002d>|vom Opfer ausgeführt| action_user_exec action_user_exec u002du002d>|installiert| tool_goto_resolve action_user_exec u002du002d>|installiert| tool_pdq action_user_exec u002du002d>|installiert| tool_itarian tool_goto_resolve u002du002d>|erstellt| action_sched_task tool_goto_resolve u002du002d>|verwendet| process_sc_exe process_sc_exe u002du002d>|startet Dienst für| action_service_exec action_service_exec u002du002d>|ermöglicht| action_rmt_use action_rmt_use u002du002d>|bietet Fernzugriff über| tool_screenconnect action_rmt_use u002du002d>|erhält Zugang mit| tool_goto_resolve action_rmt_use u002du002d>|initiiert| action_lateral_transfer action_lateral_transfer u002du002d>|lädt herunter und installiert| tool_simplehelp action_lateral_transfer u002du002d>|lädt herunter und installiert| tool_screenconnect „

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Pre-Flight-Check für Telemetrie- & Baseline muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslinie erwartet wird.

  • Angriffs-Narrativ & Befehle:

    Ein Angreifer sendet eine Phishing-E-Mail mit einem Anhang namens Open Revised Contract (2).exe. Ein Benutzer, der die Datei für einen legitimen Vertrag hält, klickt auf den Anhang. Die ausführbare Datei lässt eine bösartige RMM-MSI (276SpecialInvitation9756.msi) im %TEMP% Verzeichnis fallen und startet es über msiexec.exe. Die MSI installiert einen bösartigen RMM-Dienst, der eine Reverse-Shell zur C2 des Angreifers öffnet. Dieser Ablauf gehört zu:

    1. T1203 – Client-Ausführung (Benutzer führt die angefügte EXE aus).
    2. T1027.004 – Kompilierte Nutzlast (die EXE ist ein kompilierter bösartiger Binärdatei).
    3. T1218.005 – Msiexec (die EXE benutzt msiexec.exe /i um die MSI auszuführen).
    4. T1554 – Kompromittierung der Client-Software-Binärdatei (die MSI installiert die bösartige RMM).

    Die erzeugten Prozesserstellungsveranstaltungen sind:

    • C:Benutzer<user>AppDataLokalerTempOpen Revised Contract (2).exe – die ursprüngliche bösartige EXE.
    • C:WindowsSystem32msiexec.exe mit der Befehlszeile /i "C:Benutzer<user>AppDataLocalTemp276SpecialInvitation9756.msi" /quiet.

    Beide Pfade entsprechen Einträgen in der Sigma-Regel und sollten einen Alarm auslösen.

  • Regressionstest-Skript:

    # ------------------------------------------------------------
# Simulationsskript – Es wird die Sigma-Regel durch die 
# exakt in der Erkennungslinie definierten Dateinamen ausgelöst.
# ------------------------------------------------------------
$tempDir = "$env:TEMPRMM_Test"
New-Item -Path $tempDir -ItemType Directory -Force | Out-Null

# 1. Fälschungen des bösartigen EXE (simuliert durch Kopieren von notepad.exe)
$malExe = "$tempDirOpen Revised Contract (2).exe"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $malExe -Force

# 2. Fälschungen des bösartigen MSI (simuliert durch Kopieren beliebiger MSI – z.B. Windows SDK)
$malMsi = "$tempDir276SpecialInvitation9756.msi"
# Erstellt eine leere Platzhalter MSI-Datei
New-Item -Path $malMsi -ItemType File -Force | Out-Null

# 3. Executieren Sie die EXE – sie wird wiederum msiexec starten, um das MSI zu installieren
Write-Host "[*] Ausführung des bösartigen EXE..."
Start-Process -FilePath $malExe -Wait

# 4. Direktes Starten des MSI durch msiexec sicherstellen (wenn Schritt 3 fehlgeschlagen)
Write-Host "[*] Starten des MSI durch msiexec..."
$msiArgs = "/i `"$malMsi`" /quiet"
Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList $msiArgs -Wait

Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Alarme für die beiden Prozess-Erstellungen."
# ------------------------------------------------------------
# Bereinigung (falls gewünscht separat ausführen)
# ------------------------------------------------------------
# Remove-Item -Path $tempDir -Recurse -Force

  • Bereinigung von Befehlen:

    # Entfernen Sie alle Artifakte, die durch die Simulation erstellt wurden
$tempDir = "$env:TEMPRMM_Test"
if (Test-Path $tempDir) {
    Remove-Item -Path $tempDir -Recurse -Force
    Write-Host "[*] Bereinigung abgeschlossen."
} else {
    Write-Host "[!] Keine Artifakte gefunden; nichts zu bereinigen."
}

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten