Una Serie di Sfortunati Eventi (RMM)
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
Gli attori delle minacce stanno sempre più abusando di software legittimi di monitoraggio e gestione remota (RMM) per ottenere l’accesso iniziale e mantenere la persistenza negli ambienti presi di mira. Il rapporto evidenzia incidenti in cui gli operatori hanno prima installato uno strumento RMM ‘primario’, come GoTo Resolve o PDQ, dopodiché hanno impiegato ulteriori utilità RMM come ScreenConnect, SimpleHelp o ITarian. Gli installatori iniziali venivano spesso consegnati tramite phishing e ingegneria sociale, ospitati su domini controllati dagli aggressori. Poiché questi sono strumenti commerciali affidabili, il loro abuso può mimetizzarsi nelle normali attività di amministrazione e supportare presenze a lungo termine.
Indagine
Huntress SOC ha condotto una ricerca retrospettiva delle minacce attraverso la telemetria degli endpoint e ha identificato catene di esecuzione che iniziano con installatori consegnati tramite phishing per GoTo Resolve, PDQ o ITarian. Gli analisti hanno poi tracciato i passaggi di persistenza ed espansione, inclusa la creazione di attività pianificate, l’installazione/avvio di servizi e i percorsi di filesystem utilizzati per preparare e distribuire i binari secondari RMM come ScreenConnect e SimpleHelp. Le prove a supporto, inclusi contesti di esecuzione dei processi genitori di VirusTotal e artefatti del filesystem locale, sono state utilizzate per ricostruire il flusso d’intrusione a più stadi.
Mitigazione
Implementare una lista di controllo delle applicazioni consentite e bloccare esplicitamente gli strumenti RMM non approvati, in particolare quelli eseguiti da directory temporanee o scrivibili dagli utenti. Monitorare gli eventi di creazione di attività pianificate e servizi legati a prodotti RMM comuni e esaminare attentamente il traffico in uscita verso domini di nuova registrazione o sospetti. Mantenere un inventario aggiornato del software RMM autorizzato e auditare regolarmente dove, come e da chi questi strumenti sono utilizzati.
Risposta
Se viene identificato un installatore RMM canaglia, isolare l’endpoint, arrestare e rimuovere i servizi e le attività pianificate associati e cancellare i binari non autorizzati. Bloccare o deviare i domini e gli URL controllati dagli aggressori osservati durante la consegna e le comunicazioni C2. Completare una validazione forense completa per confermare che non restano ulteriori persistenze e ottimizzare le rilevazioni per evidenziare schemi di distribuzione ‘primario-secondario RMM’ simili in futuro.
Flusso di attacco
Rilevamenti
Servizio GoTo Resolve avviato tramite sc.exe (tramite riga di comando)
Visualizza
Agente SimpleHelp eseguito dalla directory di accesso remoto JWrapper (tramite creazione processo)
Visualizza
IOC (HashSha256) per rilevare: Una Serie di Sfortunati Eventi (RMM)
Visualizza
Rilevamento di Installazioni RMM Canaglia Indotte dal Phishing [Creazione Processo Windows]
Visualizza
Esecuzione Simulazione
Prerequisito: Il Controllo Pre‑volo Telemetria e Baseline deve aver avuto esito positivo.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrazione e Comandi dell’Attacco:
Un avversario invia un’email di phishing con un allegato chiamato
Open Revised Contract (2).exe. Un utente, credendo che il file sia un contratto legittimo, clicca sull’allegato. L’eseguibile rilascia un MSI RMM malevolo (276SpecialInvitation9756.msi) nella directory%TEMP%e lo lancia tramitemsiexec.exe. L’MSI installa un servizio RMM canaglia che apre una reverse-shell al C2 dell’attaccante. Questo flusso mappa con:- T1203 – Esecuzione Client (l’utente esegue l’EXE allegato).
- T1027.004 – Payload Compilato (l’EXE è un binario malevolo compilato).
- T1218.005 – Msiexec (l’EXE usa
msiexec.exe /iper eseguire l’MSI). - T1554 – Compromissione del binario software del client (l’MSI installa l’RMM canaglia).
Gli eventi di creazione del processo generati sono:
C:Users<user>AppDataLocalTempOpen Revised Contract (2).exe– l’EXE malevolo iniziale.C:WindowsSystem32msiexec.execon riga di comando/i "C:Users<user>AppDataLocalTemp276SpecialInvitation9756.msi" /quiet.
Entrambi i percorsi corrispondono a voci nella regola Sigma e dovrebbero attivare un avviso.
-
Script di Test di Regressione:
# ------------------------------------------------------------ # Script di simulazione – attiva la regola Sigma utilizzando i nomi file esatti definiti nella logica di rilevamento. # ------------------------------------------------------------ $tempDir = "$env:TEMPRMM_Test" New-Item -Path $tempDir -ItemType Directory -Force | Out-Null # 1. Inserire un falso EXE malevolo (simulato copiando notepad.exe) $malExe = "$tempDirOpen Revised Contract (2).exe" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $malExe -Force # 2. Inserire un falso MSI malevolo (simulato copiando qualsiasi MSI – ad es., Windows SDK) $malMsi = "$tempDir276SpecialInvitation9756.msi" # Creare un file MSI vuoto di segnaposto New-Item -Path $malMsi -ItemType File -Force | Out-Null # 3. Eseguire l'EXE – questo a sua volta lancerà msiexec per installare l'MSI Write-Host "[*] Esecuzione EXE malevolo..." Start-Process -FilePath $malExe -Wait # 4. Lanciare direttamente l'MSI tramite msiexec per assicurare il rilevamento (se il passo 3 fallisce) Write-Host "[*] Avvio MSI tramite msiexec..." $msiArgs = "/i `"$malMsi`" /quiet" Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList $msiArgs -Wait Write-Host "[+] Simulazione completata. Controllare il SIEM per gli avvisi sulle due creazioni di processo." # ------------------------------------------------------------ # Pulizia (eseguire separatamente se desiderato) # ------------------------------------------------------------ # Remove-Item -Path $tempDir -Recurse -Force -
Comandi di Pulizia:
# Rimuovere tutti gli artefatti creati dalla simulazione $tempDir = "$env:TEMPRMM_Test" if (Test-Path $tempDir) { Remove-Item -Path $tempDir -Recurse -Force Write-Host "[*] Pulizia completata." } else { Write-Host "[!] Nessun artefatto trovato; nulla da pulire." }