SOC Prime Bias: Médio

06 Jan 2026 15:29 UTC

Uma Série de Eventos Desafortunados (RMM)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Uma Série de Eventos Desafortunados (RMM)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Atores de ameaça estão cada vez mais fazendo mau uso de softwares legítimos de monitoramento e gerenciamento remoto (RMM) para obter acesso inicial e manter persistência em ambientes-alvo. O relatório destaca incidentes onde os operadores primeiro instalaram uma ferramenta RMM “primária” — como GoTo Resolve ou PDQ — e, em seguida, procederam com a implantação de utilitários RMM adicionais como ScreenConnect, SimpleHelp ou ITarian. Os instaladores iniciais eram comumente entregues por meio de phishing e engenharia social, geralmente hospedados em domínios controlados por atacantes. Como são ferramentas comerciais confiáveis, seu abuso pode se misturar com atividades normais de administração e suportar pontos de apoio de longa duração.

Investigação

O SOC da Huntress conduziu caça a ameaças retrospectiva em toda a telemetria de endpoints e identificou cadeias de execução começando com instaladores entregues por phishing para GoTo Resolve, PDQ ou ITarian. Os analistas então rastrearam as etapas de persistência e expansão, incluindo a criação de tarefas agendadas, instalação/início de serviços e caminhos de sistema de arquivos usados para estagiar e implantar binários RMM secundários como ScreenConnect e SimpleHelp. Evidências de suporte — incluindo o contexto de execução do processo pai do VirusTotal e artefatos do sistema de arquivos local — foram usadas para reconstruir o fluxo de intrusão em várias etapas.

Mitigação

Implemente a elaboração de listas de permissões para aplicativos e bloqueie explicitamente ferramentas RMM não aprovadas, particularmente aquelas executadas a partir de diretórios temporários ou graváveis pelo usuário. Monitore eventos de criação de tarefas agendadas e serviços vinculados a produtos RMM comuns e examine o tráfego de saída para domínios recém-registrados ou suspeitos. Mantenha um inventário atualizado de softwares RMM sancionados e audite rotineiramente onde, como e por quem essas ferramentas são usadas.

Resposta

Se um instalador RMM desonesto for identificado, isole o endpoint, pare e remova serviços e tarefas agendadas associadas, e exclua os binários não autorizados. Bloqueie ou redirecione domínios e URLs controlados pelo atacante observados durante a entrega e comunicações C2. Faça uma validação forense completa para confirmar que não restaram persistências adicionais e ajuste as detecções para revelar padrões semelhantes de implantação “primária para secundária de RMM” no futuro.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-vôo de Telemetria e Referência deve ter sido aprovada.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) designada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos de Ataque:

    Um adversário envia um email de phishing com um anexo chamado Open Revised Contract (2).exe. Um usuário, acreditando que o arquivo é um contrato legítimo, clica no anexo. O executável derruba um MSI RMM malicioso (276SpecialInvitation9756.msi) no diretório %TEMP% e o lança via msiexec.exe. O MSI instala um serviço RMM desonesto que abre um shell reverso para o C2 do atacante. Este fluxo mapeia para:

    1. T1203 – Execução de cliente (usuário executa o EXE anexado).
    2. T1027.004 – Payload compilado (o EXE é um binário malicioso compilado).
    3. T1218.005 – Msiexec (o EXE usa msiexec.exe /i para executar o MSI).
    4. T1554 – Compromisso do binário de software do cliente (o MSI instala o RMM desonesto).

    Os eventos de criação de processo gerados são:

    • C:Users<user>AppDataLocalTempOpen Revised Contract (2).exe – o EXE malicioso inicial.
    • C:WindowsSystem32msiexec.exe com linha de comando /i "C:Users<user>AppDataLocalTemp276SpecialInvitation9756.msi" /quiet.

    Ambos os caminhos correspondem a entradas na regra Sigma e devem disparar um alerta.

  • Script de Teste de Regressão:

    # ------------------------------------------------------------
    # Script de simulação – aciona a regra Sigma usando os
    # nomes de arquivos exatos definidos na lógica de detecção.
    # ------------------------------------------------------------
    $tempDir = "$env:TEMPRMM_Test"
    New-Item -Path $tempDir -ItemType Directory -Force | Out-Null
    
    # 1. Derrubar EXE malicioso falso (simulado copiando notepad.exe)
    $malExe = "$tempDirOpen Revised Contract (2).exe"
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $malExe -Force
    
    # 2. Derrubar MSI malicioso falso (simulado copiando qualquer MSI – por exemplo, Windows SDK)
    $malMsi = "$tempDir276SpecialInvitation9756.msi"
    # Criando um arquivo MSI de espaço reservado vazio
    New-Item -Path $malMsi -ItemType File -Force | Out-Null
    
    # 3. Executar o EXE – ele por sua vez lançará o msiexec para instalar o MSI
    Write-Host "[*] Executando EXE malicioso..."
    Start-Process -FilePath $malExe -Wait
    
    # 4. Lançar diretamente o MSI via msiexec para garantir a detecção (se o passo 3 falhar)
    Write-Host "[*] Lançando MSI via msiexec..."
    $msiArgs = "/i `"$malMsi`" /quiet"
    Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList $msiArgs -Wait
    
    Write-Host "[+] Simulação completa. Verifique o SIEM para alertas sobre as duas criações de processos."
    # ------------------------------------------------------------
    # Limpeza (executar separadamente, se desejado)
    # ------------------------------------------------------------
    # Remove-Item -Path $tempDir -Recurse -Force
  • Comandos de Limpeza:

    # Remove todos os artefatos criados pela simulação
    $tempDir = "$env:TEMPRMM_Test"
    if (Test-Path $tempDir) {
        Remove-Item -Path $tempDir -Recurse -Force
        Write-Host "[*] Limpeza concluída."
    } else {
        Write-Host "[!] Nenhum artefato encontrado; nada para limpar."
    }