Una Serie de Desafortunados Eventos (RMM)
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de amenazas están abusando cada vez más del software legítimo de monitoreo y gestión remota (RMM) para obtener acceso inicial y mantener la persistencia en entornos objetivo. El informe destaca incidentes donde los operadores primero instalaron una herramienta RMM “primaria”, como GoTo Resolve o PDQ, y luego continuaron desplegando utilidades RMM adicionales como ScreenConnect, SimpleHelp o ITarian. Los instaladores iniciales fueron comúnmente entregados a través de phishing y ingeniería social, a menudo alojados en dominios controlados por atacantes. Como se trata de herramientas comerciales confiables, su abuso puede mezclarse con la actividad administrativa normal y sostener puntos de apoyo duraderos.
Investigación
SOC Huntress llevó a cabo una búsqueda retrospectiva de amenazas a través de la telemetría de endpoints y identificó cadenas de ejecución que comenzaban con instaladores entregados por phishing para GoTo Resolve, PDQ o ITarian. Los analistas luego rastrearon los pasos de persistencia y expansión, incluidos la creación de tareas programadas, la instalación/inicio de servicios y las rutas del sistema de archivos utilizadas para escenar y desplegar binarios RMM secundarios como ScreenConnect y SimpleHelp. Se utilizó evidencia de apoyo —incluyendo el contexto de ejecución de procesos padre de VirusTotal y artefactos locales del sistema de archivos— para reconstruir el flujo de intrusión multi-etapa.
Mitigación
Implemente una lista de aplicaciones permitidas y bloquee explícitamente las herramientas RMM no aprobadas, particularmente aquellas ejecutadas desde directorios temporales o escribibles por el usuario. Monitoree los eventos de creación de tareas programadas y servicios relacionados con productos RMM comunes y escrutine el tráfico saliente hacia dominios registrados recientemente o sospechosos. Mantenga un inventario actualizado del software RMM autorizado y audite rutinariamente dónde, cómo y por quién se utilizan estas herramientas.
Respuesta
Si se identifica un instalador RMM malicioso, aísle el endpoint, detenga y elimine los servicios y tareas programadas asociadas, y elimine los binarios no autorizados. Bloquee o desvíe dominios y URLs controlados por atacantes observados durante la entrega y las comunicaciones C2. Complete una validación forense completa para confirmar que no queda persistencia adicional, y ajuste las detecciones para reflejar patrones de despliegue “primario a secundario” RMM similares en el futuro.
Flujo de Ataque
Detecciones
Servicio GoTo Resolve Iniciado vía sc.exe (a través de línea de comandos)
Ver
Agente SimpleHelp Ejecutado desde el Directorio de Acceso Remoto de JWrapper (a través de creación de procesos)
Ver
IOCs (HashSha256) para detectar: Una Serie de Desafortunados Eventos (RMM)
Ver
Detección de Instalaciones RMM Maliciosas Inducidas por Phishing [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Revisión Previa de Telemetría y Línea Base debe haber sido superada.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un adversario envía un correo electrónico de phishing con un archivo adjunto llamado
Open Revised Contract (2).exe. Un usuario, creyendo que el archivo es un contrato legítimo, hace clic en el archivo adjunto. El ejecutable deja caer un MSI RMM malicioso (276SpecialInvitation9756.msi) into the%TEMP%y lo lanza a través demsiexec.exe. El MSI instala un servicio RMM malicioso que abre un reverso de shell hacia el C2 del atacante. Este flujo se mapea a:- T1203 – Ejecución del cliente (el usuario ejecuta el EXE adjunto).
- T1027.004 – Carga útil compilada (el EXE es un binario malicioso compilado).
- T1218.005 – Msiexec (el EXE utiliza
msiexec.exe /ipara ejecutar el MSI). - T1554 – Compromiso del binario de software del cliente (el MSI instala el RMM malicioso).
Los eventos de creación de procesos generados son:
C:Usuarios<usuario>AppDataLocalTempOpen Revised Contract (2).exe– el EXE malicioso inicial.C:WindowsSystem32msiexec.execon la línea de comandos/i "C:Usuarios<usuario>AppDataLocalTemp276SpecialInvitation9756.msi" /quiet.
Ambas rutas coinciden con las entradas en la regla Sigma y deberían disparar una alerta.
-
Script de Prueba de Regresión:
# ------------------------------------------------------------ # Script de simulación – activa la regla Sigma usando los # nombres de archivo exactos definidos en la lógica de detección. # ------------------------------------------------------------ $tempDir = "$env:TEMPRMM_Test" New-Item -Path $tempDir -ItemType Directory -Force | Out-Null # 1. Dejar caer un EXE malicioso falso (simulado copiando notepad.exe) $malExe = "$tempDirOpen Revised Contract (2).exe" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $malExe -Force # 2. Dejar caer un MSI malicioso falso (simulado copiando cualquier MSI – e.g., Windows SDK) $malMsi = "$tempDir276SpecialInvitation9756.msi" # Creando un archivo MSI de marcador de posición vacío New-Item -Path $malMsi -ItemType File -Force | Out-Null # 3. Ejecutar el EXE – que a su vez lanzará msiexec para instalar el MSI Write-Host "[*] Ejecutando EXE malicioso..." Start-Process -FilePath $malExe -Wait # 4. Lanzar directamente el MSI a través de msiexec para asegurar la detección (si el paso 3 falló) Write-Host "[*] Lanzando MSI vía msiexec..." $msiArgs = "/i `"$malMsi`" /quiet" Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList $msiArgs -Wait Write-Host "[+] Simulación completa. Verifique SIEM para alertas sobre las dos creaciones de procesos." # ------------------------------------------------------------ # Limpieza (ejecutar por separado si se desea) # ------------------------------------------------------------ # Remove-Item -Path $tempDir -Recurse -Force -
Comandos de Limpieza:
# Eliminar todos los artefactos creados por la simulación $tempDir = "$env:TEMPRMM_Test" if (Test-Path $tempDir) { Remove-Item -Path $tempDir -Recurse -Force Write-Host "[*] Limpieza completada." } else { Write-Host "[!] No se encontraron artefactos; nada que limpiar." }