SOC Prime Bias: Moyen

06 Jan 2026 15:29 UTC

Une série d’événements malheureux (RMM)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Une série d’événements malheureux (RMM)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Les acteurs malveillants abusent de plus en plus des logiciels de surveillance et de gestion à distance (RMM) légitimes pour obtenir un accès initial et maintenir une persistance dans les environnements ciblés. Le rapport met en évidence des incidents où les opérateurs ont d’abord installé un outil RMM « primaire » — tel que GoTo Resolve ou PDQ — puis ont suivi en déployant des utilitaires RMM supplémentaires comme ScreenConnect, SimpleHelp ou ITarian. Les installateurs initiaux étaient souvent livrés via hameçonnage et ingénierie sociale, souvent hébergés sur des domaines contrôlés par les attaquants. Comme ce sont des outils commerciaux de confiance, leur abus peut se fondre dans l’activité normale de l’administration et soutenir des points d’ancrage durables.

Enquête

Le SOC Huntress a mené une chasse aux menaces rétrospective sur la télémétrie des terminaux et a identifié des chaînes d’exécution commençant par des installateurs livrés par hameçonnage pour GoTo Resolve, PDQ, ou ITarian. Les analystes ont ensuite retracé les étapes de persistance et d’expansion, y compris la création de tâches planifiées, l’installation/démarrage de services, et les chemins du système de fichiers utilisés pour mettre en scène et déployer des binaires RMM secondaires tels que ScreenConnect et SimpleHelp. Des preuves à l’appui — y compris le contexte d’exécution des processus parent sur VirusTotal et les artefacts locaux du système de fichiers — ont été utilisées pour reconstruire le flux d’intrusion en plusieurs étapes.

Atténuation

Mettre en œuvre une liste d’approbation des applications et bloquer explicitement les outils RMM non approuvés, en particulier ceux exécutés à partir de répertoires temporaires ou écrits par l’utilisateur. Surveiller les événements de création de tâches planifiées et de services liés à des produits RMM courants et examiner soigneusement le trafic sortant vers des domaines nouvellement enregistrés ou suspects. Maintenir un inventaire à jour des logiciels RMM approuvés et auditer régulièrement où, comment et par qui ces outils sont utilisés.

Réponse

Si un installateur RMM malveillant est identifié, isoler le terminal, arrêter et supprimer les services et tâches programmées associés, et supprimer les binaires non autorisés. Bloquer ou rediriger les domaines et URL contrôlés par l’attaquant observés lors de la livraison et des communications C2. Effectuer une validation médico-légale complète pour confirmer qu’aucune persistance supplémentaire ne reste, et ajuster les détections pour faire ressortir des modèles de déploiement similaires « primaire-à-secondaire RMM » à l’avenir.

Flux d’attaque

Exécution de simulation

Prérequis : Le Vérification de télémétrie & baseline pré-vol doit avoir été réussie.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Récit d’attaque & Commandes :

    Un adversaire envoie un email hameçonnage avec une pièce jointe nommée Open Revised Contract (2).exe. Un utilisateur, croyant que le fichier est un contrat légitime, clique sur la pièce jointe. L’exécutable dépose un MSI RMM malveillant (276SpecialInvitation9756.msi) dans le %TEMP% répertoire et le lance via msiexec.exe. Le MSI installe un service RMM malveillant qui ouvre un shell inversé vers le C2 de l’attaquant. Ce flux correspond à :

    1. T1203 – Exécution du client (l’utilisateur exécute l’EXE joint).
    2. T1027.004 – Charge utile compilée (l’EXE est un binaire malveillant compilé).
    3. T1218.005 – Msiexec (l’EXE utilise msiexec.exe /i pour exécuter le MSI).
    4. T1554 – Compromettre le binaire logiciel client (le MSI installe le RMM malveillant).

    Les événements de création de processus générés sont :

    • C:Users<user>AppDataLocalTempOpen Revised Contract (2).exe – l’EXE malveillant initial.
    • C:WindowsSystem32msiexec.exe avec la ligne de commande /i "C:Users<user>AppDataLocalTemp276SpecialInvitation9756.msi" /quiet.

    Les deux chemins correspondent aux entrées de la règle Sigma et devraient déclencher une alerte.

  • Script de test de régression :

    # ------------------------------------------------------------
    # Script de simulation - déclenche la règle Sigma en utilisant
    # les noms de fichiers exacts définis dans la logique de détection.
    # ------------------------------------------------------------
    $tempDir = "$env:TEMPRMM_Test"
    New-Item -Path $tempDir -ItemType Directory -Force | Out-Null
    
    # 1. Déposer un EXE malveillant factice (simulé en copiant notepad.exe)
    $malExe = "$tempDirOpen Revised Contract (2).exe"
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $malExe -Force
    
    # 2. Déposer un MSI malveillant factice (simulé en copiant un MSI quelconque - par exemple, le SDK Windows)
    $malMsi = "$tempDir276SpecialInvitation9756.msi"
    # Création d'un fichier MSI factice vide
    New-Item -Path $malMsi -ItemType File -Force | Out-Null
    
    # 3. Exécuter l'EXE – il lancera à son tour msiexec pour installer le MSI
    Write-Host "[*] Exécution de l'EXE malveillant..."
    Start-Process -FilePath $malExe -Wait
    
    # 4. Lancer directement le MSI via msiexec pour assurer la détection (si l'étape 3 a échoué)
    Write-Host "[*] Lancement du MSI via msiexec..."
    $msiArgs = "/i `"$malMsi`" /quiet"
    Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList $msiArgs -Wait
    
    Write-Host "[+] Simulation complète. Vérifiez le SIEM pour détecter des alertes sur les deux créations de processus."
    # ------------------------------------------------------------
    # Nettoyage (à exécuter séparément si souhaité)
    # ------------------------------------------------------------
    # Remove-Item -Path $tempDir -Recurse -Force
  • Commandes de nettoyage :

    # Supprimer tous les artefacts créés par la simulation
    $tempDir = "$env:TEMPRMM_Test"
    if (Test-Path $tempDir) {
        Remove-Item -Path $tempDir -Recurse -Force
        Write-Host "[*] Nettoyage terminé."
    } else {
        Write-Host "[!] Aucun artefact trouvé; rien à nettoyer."
    }