RMM工具的雙刃劍：攻擊者的最佳選擇

關(guān)鍵要點

• RMM工具被攻擊者濫用 ：合法的遠(yuǎn)程監(jiān)控和管理（RMM）工具如ConnectWise ScreenConnect和AnyDesk成為攻擊者的主要目標(biāo)。
• 安全隱患加劇 ：報告顯示2023年的RMM工具濫用事件增長70%。
• 潛在的解決方案 ：企業(yè)需要加強(qiáng)訪問控制、使用多因素認(rèn)證以及定期監(jiān)控來降低風(fēng)險。


來源：Shutterstock

根據(jù)安全供應(yīng)商CrowdStrike的報告，攻擊者越來越多地利用合法的網(wǎng)絡(luò)管理工具來偽裝其對企業(yè)網(wǎng)絡(luò)的攻擊。這份報告顯示，2023年RMM工具的使用同比增加了70%。在2023年6月至2024年6月期間，ConnectWiseScreenConnect的濫用程度超過AnyDesk，成為最被濫用的RMM工具。

RMM工具旨在幫助IT部門遠(yuǎn)程管理系統(tǒng)，但一旦落入壞人之手，這些強(qiáng)大的工具便成為攻擊者的完美偽裝。

Ben McCarthy，ImmersiveLabs的首席網(wǎng)絡(luò)安全工程師表示：“雖然使用RMM工具并不是新型攻擊手段，但攻擊者越來越青睞這些工具，因為它們相較于自制代碼帶來了多個優(yōu)勢。”

RMM工具通常由IT經(jīng)理、網(wǎng)絡(luò)管理員和安全團(tuán)隊廣泛使用，尤其是在混合工作模式下，主要用于修復(fù)IT故障、安裝程序和在網(wǎng)絡(luò)之間轉(zhuǎn)移文件，Sygnia的IR研究總監(jiān)AmirSadon對CSO說道。

攻擊者利用RMM工具隱藏行蹤

使用合法的RMM工具而非個人開發(fā)的工具，攻擊者可以在公開視野中隱藏惡意活動，融入正常的網(wǎng)絡(luò)流量中。

Sadon表示：“各類威脅行為者，尤其是勒索軟件集團(tuán)，已在多年中利用這些RMM工具，這是一種采取合法工具進(jìn)行惡意活動的策略。”

攻擊者可以通過利用現(xiàn)有RMM平臺中的漏洞或使用被盜、默認(rèn)或猜測的憑證來獲得初步訪問權(quán)限。

在許多案例中，攻擊組織在通過其他手段突破目標(biāo)網(wǎng)絡(luò)后，安裝RMM工具以實現(xiàn)持久性或橫向移動。不太常見的是，攻擊者試圖通過網(wǎng)絡(luò)釣魚攻擊誘騙潛在目標(biāo)安裝RMM工具。

RMM軟件使用可執(zhí)行文件格式，允許網(wǎng)絡(luò)犯罪分子在不需要管理員權(quán)限或完全安裝軟件的情況下建立本地用戶訪問。

Martin J. Kraemer，KnowBe4的安全意識倡導(dǎo)者指出：“由于這些RMM工具旨在用于合法目的，因此它們通常不會立即引起警覺。任何時候網(wǎng)絡(luò)犯罪分子能夠在雷達(dá)下操作，都是對他們而言的寶貴時間，他們可以利用這段時間學(xué)習(xí)網(wǎng)絡(luò)，以識別資源和信息。”

遠(yuǎn)程管理工具免費、易于獲取，并且能夠提供遠(yuǎn)程訪問和控制，恰好滿足了攻擊者的需求。RMM工具對非商業(yè)應(yīng)用不要求許可。盡管成本可能很低，但這些工具提供了穩(wěn)定性、專業(yè)的圖形用戶界面（GUI）和強(qiáng)大的功能。

Kraemer補(bǔ)充道：“一旦他們獲得了網(wǎng)絡(luò)訪問，使用RMM工具保持持久性、執(zhí)行命令、轉(zhuǎn)移文件以及進(jìn)行進(jìn)一步探索都會變得輕而易舉。RMM工具大多已經(jīng)在目標(biāo)計算機(jī)上安裝，網(wǎng)絡(luò)犯罪分子并不需要將它們作為負(fù)載投遞到系統(tǒng)中。”

攻擊者選擇RMM作為特洛伊木馬

RMM軟件看起來比定制的惡意軟件更加合法，通常具有正確且最新的證書。

Quod Orbis 公司首席執(zhí)行官MartinGreenfield對CSO表示：“企業(yè)自己的工具已經(jīng)變成了雙刃劍，RMM解決方案很可能成為攻擊者的首選特洛伊木馬。”

威脅情報公司稱，對于某些威脅行為者而言，“RMM工具已成為維持持久訪問的首選，取代了定制后門和后滲透工具，例如Cobalt Strike和Met