Eine Reihe von unglücklichen (RMM) Ereignissen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure missbrauchen zunehmend legitime Software für Fernüberwachung und -verwaltung (RMM), um anfänglichen Zugriff zu erhalten und Beständigkeit in Zielumgebungen zu bewahren. Der Bericht hebt Vorfälle hervor, bei denen Operatoren zunächst ein „primäres“ RMM-Tool wie GoTo Resolve oder PDQ installierten und dann zusätzliche RMM-Dienstprogramme wie ScreenConnect, SimpleHelp oder ITarian bereitstellten. Die anfänglichen Installer wurden häufig durch Phishing und soziale Ingenieurtechniken bereitgestellt, oft auf von Angreifern kontrollierten Domains gehostet. Da es sich um vertrauenswürdige kommerzielle Tools handelt, kann ihr Missbrauch in normale Admin-Aktivitäten übergehen und langandauernde Stützpunkte unterstützen.
Untersuchung
Das Huntress-SOC führte eine rückblickende Bedrohungssuche über Endpunktelemetrie durch und identifizierte Ausführungsketten, die mit Phishing-bereitgestellten Installern für GoTo Resolve, PDQ oder ITarian begannen. Analysten verfolgten dann die Schritte zur Beständigkeit und Expansion, einschließlich der Erstellung geplanter Aufgaben, der Installation/Starts von Diensten und der Dateisystempfade, die zur Inszenierung und Bereitstellung sekundärer RMM-Binärdateien wie ScreenConnect und SimpleHelp verwendet wurden. Unterstützende Beweise – einschließlich VirusTotal-Parent-Process-Ausführungskontext und lokale Dateisystemartefakte – wurden verwendet, um den mehrstufigen Eindringungsfluss zu rekonstruieren.
Minderung
Implementieren Sie eine Anwendungs-Whitelist und blockieren Sie ausdrücklich nicht genehmigte RMM-Tools, insbesondere solche, die von temporären oder benutzerbeschreibbaren Verzeichnissen aus ausgeführt werden. Überwachen Sie geplante Aufgaben und Ereignisse zur Dienstkreierung, die mit allgemeinen RMM-Produkten verbunden sind, und prüfen Sie den ausgehenden Datenverkehr zu neu registrierten oder verdächtigen Domains. Führen Sie ein aktuelles Verzeichnis genehmigter RMM-Software und führen Sie regelmäßig Audits durch, wo, wie und von wem diese Tools verwendet werden.
Antwort
Wird ein bösartiger RMM-Installer identifiziert, isolieren Sie den Endpunkt, stoppen und entfernen Sie zugehörige Dienste und geplante Aufgaben und löschen Sie die unautorisierten Binärdateien. Blockieren oder surfen Sie auf Angreifer-kontrollierten Domains und URLs, die während der Bereitstellung und C2-Kommunikation beobachtet wurden. Führen Sie eine vollständige forensische Validierung durch, um zu bestätigen, dass keine zusätzliche Beständigkeit verbleibt, und passen Sie Erkennungen weiterhin an, um ähnliche „primäre-zu-sekundäre RMM“-Bereitstellungsmuster zu erkennen.
Angriffsablauf
Erkennungen
GoTo Resolve Dienst gestartet über sc.exe (via cmdline)
Ansicht
Ein neuer SimpleHelp-Agent wurde aus dem JWrapper Remote Access Directory (via process_creation) ausgeführt
Ansicht
IOCs (HashSha256) zur Erkennung: Eine Reihe bedauerlicher (RMM) Ereignisse
Ansicht
Erkennung von Phishing-induzierten bösartigen RMM-Installationen [Windows-Prozesserstellung]
Ansicht
Simulationsausführung
Voraussetzung: Der Pre-Flight-Check für Telemetrie- & Baseline muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslinie erwartet wird.
-
Angriffs-Narrativ & Befehle:
Ein Angreifer sendet eine Phishing-E-Mail mit einem Anhang namens
Open Revised Contract (2).exe. Ein Benutzer, der die Datei für einen legitimen Vertrag hält, klickt auf den Anhang. Die ausführbare Datei lässt eine bösartige RMM-MSI (276SpecialInvitation9756.msi) im%TEMP%Verzeichnis fallen und startet es übermsiexec.exe. Die MSI installiert einen bösartigen RMM-Dienst, der eine Reverse-Shell zur C2 des Angreifers öffnet. Dieser Ablauf gehört zu:- T1203 – Client-Ausführung (Benutzer führt die angefügte EXE aus).
- T1027.004 – Kompilierte Nutzlast (die EXE ist ein kompilierter bösartiger Binärdatei).
- T1218.005 – Msiexec (die EXE benutzt
msiexec.exe /ium die MSI auszuführen). - T1554 – Kompromittierung der Client-Software-Binärdatei (die MSI installiert die bösartige RMM).
Die erzeugten Prozesserstellungsveranstaltungen sind:
C:Benutzer<user>AppDataLokalerTempOpen Revised Contract (2).exe– die ursprüngliche bösartige EXE.C:WindowsSystem32msiexec.exemit der Befehlszeile/i "C:Benutzer<user>AppDataLocalTemp276SpecialInvitation9756.msi" /quiet.
Beide Pfade entsprechen Einträgen in der Sigma-Regel und sollten einen Alarm auslösen.
-
Regressionstest-Skript:
# ------------------------------------------------------------ # Simulationsskript – Es wird die Sigma-Regel durch die # exakt in der Erkennungslinie definierten Dateinamen ausgelöst. # ------------------------------------------------------------ $tempDir = "$env:TEMPRMM_Test" New-Item -Path $tempDir -ItemType Directory -Force | Out-Null # 1. Fälschungen des bösartigen EXE (simuliert durch Kopieren von notepad.exe) $malExe = "$tempDirOpen Revised Contract (2).exe" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $malExe -Force # 2. Fälschungen des bösartigen MSI (simuliert durch Kopieren beliebiger MSI – z.B. Windows SDK) $malMsi = "$tempDir276SpecialInvitation9756.msi" # Erstellt eine leere Platzhalter MSI-Datei New-Item -Path $malMsi -ItemType File -Force | Out-Null # 3. Executieren Sie die EXE – sie wird wiederum msiexec starten, um das MSI zu installieren Write-Host "[*] Ausführung des bösartigen EXE..." Start-Process -FilePath $malExe -Wait # 4. Direktes Starten des MSI durch msiexec sicherstellen (wenn Schritt 3 fehlgeschlagen) Write-Host "[*] Starten des MSI durch msiexec..." $msiArgs = "/i `"$malMsi`" /quiet" Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList $msiArgs -Wait Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Alarme für die beiden Prozess-Erstellungen." # ------------------------------------------------------------ # Bereinigung (falls gewünscht separat ausführen) # ------------------------------------------------------------ # Remove-Item -Path $tempDir -Recurse -Force -
Bereinigung von Befehlen:
# Entfernen Sie alle Artifakte, die durch die Simulation erstellt wurden $tempDir = "$env:TEMPRMM_Test" if (Test-Path $tempDir) { Remove-Item -Path $tempDir -Recurse -Force Write-Host "[*] Bereinigung abgeschlossen." } else { Write-Host "[!] Keine Artifakte gefunden; nichts zu bereinigen." }