SOC Prime Bias: Medio

06 Jan 2026 15:29 UTC

Una Serie di Sfortunati Eventi (RMM)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Una Serie di Sfortunati Eventi (RMM)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sintesi

Gli attori delle minacce stanno sempre più abusando di software legittimi di monitoraggio e gestione remota (RMM) per ottenere l’accesso iniziale e mantenere la persistenza negli ambienti presi di mira. Il rapporto evidenzia incidenti in cui gli operatori hanno prima installato uno strumento RMM ‘primario’, come GoTo Resolve o PDQ, dopodiché hanno impiegato ulteriori utilità RMM come ScreenConnect, SimpleHelp o ITarian. Gli installatori iniziali venivano spesso consegnati tramite phishing e ingegneria sociale, ospitati su domini controllati dagli aggressori. Poiché questi sono strumenti commerciali affidabili, il loro abuso può mimetizzarsi nelle normali attività di amministrazione e supportare presenze a lungo termine.

Indagine

Huntress SOC ha condotto una ricerca retrospettiva delle minacce attraverso la telemetria degli endpoint e ha identificato catene di esecuzione che iniziano con installatori consegnati tramite phishing per GoTo Resolve, PDQ o ITarian. Gli analisti hanno poi tracciato i passaggi di persistenza ed espansione, inclusa la creazione di attività pianificate, l’installazione/avvio di servizi e i percorsi di filesystem utilizzati per preparare e distribuire i binari secondari RMM come ScreenConnect e SimpleHelp. Le prove a supporto, inclusi contesti di esecuzione dei processi genitori di VirusTotal e artefatti del filesystem locale, sono state utilizzate per ricostruire il flusso d’intrusione a più stadi.

Mitigazione

Implementare una lista di controllo delle applicazioni consentite e bloccare esplicitamente gli strumenti RMM non approvati, in particolare quelli eseguiti da directory temporanee o scrivibili dagli utenti. Monitorare gli eventi di creazione di attività pianificate e servizi legati a prodotti RMM comuni e esaminare attentamente il traffico in uscita verso domini di nuova registrazione o sospetti. Mantenere un inventario aggiornato del software RMM autorizzato e auditare regolarmente dove, come e da chi questi strumenti sono utilizzati.

Risposta

Se viene identificato un installatore RMM canaglia, isolare l’endpoint, arrestare e rimuovere i servizi e le attività pianificate associati e cancellare i binari non autorizzati. Bloccare o deviare i domini e gli URL controllati dagli aggressori osservati durante la consegna e le comunicazioni C2. Completare una validazione forense completa per confermare che non restano ulteriori persistenze e ottimizzare le rilevazioni per evidenziare schemi di distribuzione ‘primario-secondario RMM’ simili in futuro.

Flusso di attacco

Esecuzione Simulazione

Prerequisito: Il Controllo Pre‑volo Telemetria e Baseline deve aver avuto esito positivo.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrazione e Comandi dell’Attacco:

    Un avversario invia un’email di phishing con un allegato chiamato Open Revised Contract (2).exe. Un utente, credendo che il file sia un contratto legittimo, clicca sull’allegato. L’eseguibile rilascia un MSI RMM malevolo (276SpecialInvitation9756.msi) nella directory %TEMP% e lo lancia tramite msiexec.exe. L’MSI installa un servizio RMM canaglia che apre una reverse-shell al C2 dell’attaccante. Questo flusso mappa con:

    1. T1203 – Esecuzione Client (l’utente esegue l’EXE allegato).
    2. T1027.004 – Payload Compilato (l’EXE è un binario malevolo compilato).
    3. T1218.005 – Msiexec (l’EXE usa msiexec.exe /i per eseguire l’MSI).
    4. T1554 – Compromissione del binario software del client (l’MSI installa l’RMM canaglia).

    Gli eventi di creazione del processo generati sono:

    • C:Users<user>AppDataLocalTempOpen Revised Contract (2).exe – l’EXE malevolo iniziale.
    • C:WindowsSystem32msiexec.exe con riga di comando /i "C:Users<user>AppDataLocalTemp276SpecialInvitation9756.msi" /quiet.

    Entrambi i percorsi corrispondono a voci nella regola Sigma e dovrebbero attivare un avviso.

  • Script di Test di Regressione:

    # ------------------------------------------------------------
    # Script di simulazione – attiva la regola Sigma utilizzando i nomi file esatti definiti nella logica di rilevamento.
    # ------------------------------------------------------------
    $tempDir = "$env:TEMPRMM_Test"
    New-Item -Path $tempDir -ItemType Directory -Force | Out-Null
    
    # 1. Inserire un falso EXE malevolo (simulato copiando notepad.exe)
    $malExe = "$tempDirOpen Revised Contract (2).exe"
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $malExe -Force
    
    # 2. Inserire un falso MSI malevolo (simulato copiando qualsiasi MSI – ad es., Windows SDK)
    $malMsi = "$tempDir276SpecialInvitation9756.msi"
    # Creare un file MSI vuoto di segnaposto
    New-Item -Path $malMsi -ItemType File -Force | Out-Null
    
    # 3. Eseguire l'EXE – questo a sua volta lancerà msiexec per installare l'MSI
    Write-Host "[*] Esecuzione EXE malevolo..."
    Start-Process -FilePath $malExe -Wait
    
    # 4. Lanciare direttamente l'MSI tramite msiexec per assicurare il rilevamento (se il passo 3 fallisce)
    Write-Host "[*] Avvio MSI tramite msiexec..."
    $msiArgs = "/i `"$malMsi`" /quiet"
    Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList $msiArgs -Wait
    
    Write-Host "[+] Simulazione completata. Controllare il SIEM per gli avvisi sulle due creazioni di processo."
    # ------------------------------------------------------------
    # Pulizia (eseguire separatamente se desiderato)
    # ------------------------------------------------------------
    # Remove-Item -Path $tempDir -Recurse -Force
  • Comandi di Pulizia:

    # Rimuovere tutti gli artefatti creati dalla simulazione
    $tempDir = "$env:TEMPRMM_Test"
    if (Test-Path $tempDir) {
        Remove-Item -Path $tempDir -Recurse -Force
        Write-Host "[*] Pulizia completata."
    } else {
        Write-Host "[!] Nessun artefatto trovato; nulla da pulire."
    }