Uzaktan izleme ve yönetim (RMM) araçları, kurumsal uç noktalarda kesintisiz uzaktan kontrol, gözetimsiz erişim ve komut dosyasıyla yazılmış otomasyon sağlayarak uzun süredir BT yöneticileri için vazgeçilmez varlıklar olarak hizmet vermiştir.
Son aylarda güvenlik araştırmacıları, saldırganların bir ConnectWise RMM çözümü olan ScreenConnect’i ilk izinsiz giriş ve devam eden kontrol için gizli bir arka kapı olarak yeniden kullanmasında bir artış gözlemledi.
Güvenliği ihlal edilmiş kimlik bilgilerini hedef alan yaygın kimlik avı kampanyalarından ortaya çıkan bu saldırılar, minimum disk alanıyla geleneksel savunmaları aşmak için ScreenConnect’in esnek yükleyicisinden ve davet bağlantısı mekanizmalarından yararlanır.
Kampanya genellikle meşru BT uyarıları gibi görünen hedef odaklı kimlik avı e-postalarıyla başlıyor ve alıcıları özel bir ScreenConnect yükleyicisini indirmeye veya bir davet bağlantısını tıklamaya teşvik ediyor.
.webp)
MSI paketi yürütüldükten sonra tamamen bellekte dağıtılır, imza tabanlı antivirüs tespitinden kaçınır ve yalnızca geçici bir hizmet ikili dosyasını bırakır.
Yerleştirilen aracı daha sonra bir Windows hizmeti olarak kaydolarak saldırganlara dosya sistemlerine, işlem yürütmeye ve ana bilgisayarın ağ yığınına sınırsız erişim sağlar.
Tehdit aktörlerinin saatler içinde yana doğru hareket ettiği, ayrıcalıkları artırdığı ve rutin bakım kisvesi altında hassas verileri sızdırdığı gözlemlendi.
Dark Atlas analistleri, saldırganların, ağ tabanlı tehlike göstergelerinden kaçınmak için benzersiz ana bilgisayar adlarını ve şifrelenmiş başlatma anahtarlarını doğrudan müşterinin system.config dosyasına yerleştirerek oluşturucu yapılandırmalarını anında özelleştirdiğini belirledi.
Dinamik olarak oluşturulan bu parametreler, kötü amaçlı etki alanlarının saldırgan tarafından kontrol edilen altyapıya çözümlendiği ScreenConnect.ApplicationSettings’in XML bölümünde eşlenir.
Bu taktik yalnızca komuta ve kontrol kanallarını gizlemekle kalmıyor, aynı zamanda her bir konuşlandırmanın savunmacılar için ayrı bir operasyonel durum olarak görünmesini de sağlıyor.
Enfeksiyon Mekanizması ve Yükleyici Yapıları
ScreenConnect yükleyicisi, kalıcılığı korurken algılamayı en aza indirmek için yerleşik RMM özelliklerinden yararlanır.
Saldırganlar, hedef ortama bağlı olarak MSI veya EXE paketleyicisini seçerek yönetim konsolundan özel bir oluşturucu oluşturur.
Yükleyici başlatıldığında, WindowsClient yürütülebilir dosyasını ve ilişkili DLL’leri zararsız görünen bir dizine yazar; C:\ProgramData\ScreenConnectClient\—karmaşık bir komut satırıyla hizmeti çağırmadan önce.
Tipik bir yürütme pasajı şu şekilde görünür: –
Start-Process -FilePath "msiexec.exe" -ArgumentList "/i ScreenConnect.ClientSetup.msi /qn /norestart" -WindowStyle HiddenKurulumun ardından aracı bir system.config XML, depolama
Kalıcılık, adlı kayıtlı Windows hizmeti aracılığıyla sağlanır. ScreenConnect ClientServiceyeniden başlatma sırasında ikili dosyayı yeniden başlatır.
.webp)
Canlı sohbet transkriptleri ve oturum günlükleri gibi yalnızca bellekten oluşan yapılar yalnızca işlem yığınlarında bulunur ve adli kurtarma için geçici bellek yakalamayı gerektirir.
Tehdit aktörleri, bellek içi yürütmeyi, özel yapılandırma oluşturucuları ve şifrelenmiş başlatma anahtarlarını birleştirerek meşru bir RMM çözümünü gizli bir uzaktan erişim Truva Atı’na dönüştürerek güvenlik operasyonları ekipleri için tespit ve olay müdahalesini karmaşık hale getirir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
