RMM工具的雙刃劍：攻擊者的最佳選擇

關鍵要點

• RMM工具被攻擊者濫用 ：合法的遠程監控和管理（RMM）工具如ConnectWise ScreenConnect和AnyDesk成為攻擊者的主要目標。
• 安全隱患加劇 ：報告顯示2023年的RMM工具濫用事件增長70%。
• 潛在的解決方案 ：企業需要加強訪問控制、使用多因素認證以及定期監控來降低風險。


來源：Shutterstock

根據安全供應商CrowdStrike的報告，攻擊者越來越多地利用合法的網絡管理工具來偽裝其對企業網絡的攻擊。這份報告顯示，2023年RMM工具的使用同比增加了70%。在2023年6月至2024年6月期間，ConnectWiseScreenConnect的濫用程度超過AnyDesk，成為最被濫用的RMM工具。

RMM工具旨在幫助IT部門遠程管理系統，但一旦落入壞人之手，這些強大的工具便成為攻擊者的完美偽裝。

Ben McCarthy，ImmersiveLabs的首席網絡安全工程師表示：“雖然使用RMM工具并不是新型攻擊手段，但攻擊者越來越青睞這些工具，因為它們相較于自制代碼帶來了多個優勢。”

RMM工具通常由IT經理、網絡管理員和安全團隊廣泛使用，尤其是在混合工作模式下，主要用于修復IT故障、安裝程序和在網絡之間轉移文件，Sygnia的IR研究總監AmirSadon對CSO說道。

攻擊者利用RMM工具隱藏行蹤

使用合法的RMM工具而非個人開發的工具，攻擊者可以在公開視野中隱藏惡意活動，融入正常的網絡流量中。

Sadon表示：“各類威脅行為者，尤其是勒索軟件集團，已在多年中利用這些RMM工具，這是一種采取合法工具進行惡意活動的策略。”

攻擊者可以通過利用現有RMM平臺中的漏洞或使用被盜、默認或猜測的憑證來獲得初步訪問權限。

在許多案例中，攻擊組織在通過其他手段突破目標網絡后，安裝RMM工具以實現持久性或橫向移動。不太常見的是，攻擊者試圖通過網絡釣魚攻擊誘騙潛在目標安裝RMM工具。

RMM軟件使用可執行文件格式，允許網絡犯罪分子在不需要管理員權限或完全安裝軟件的情況下建立本地用戶訪問。

Martin J. Kraemer，KnowBe4的安全意識倡導者指出：“由于這些RMM工具旨在用于合法目的，因此它們通常不會立即引起警覺。任何時候網絡犯罪分子能夠在雷達下操作，都是對他們而言的寶貴時間，他們可以利用這段時間學習網絡，以識別資源和信息。”

遠程管理工具免費、易于獲取，并且能夠提供遠程訪問和控制，恰好滿足了攻擊者的需求。RMM工具對非商業應用不要求許可。盡管成本可能很低，但這些工具提供了穩定性、專業的圖形用戶界面（GUI）和強大的功能。

Kraemer補充道：“一旦他們獲得了網絡訪問，使用RMM工具保持持久性、執行命令、轉移文件以及進行進一步探索都會變得輕而易舉。RMM工具大多已經在目標計算機上安裝，網絡犯罪分子并不需要將它們作為負載投遞到系統中。”

攻擊者選擇RMM作為特洛伊木馬

RMM軟件看起來比定制的惡意軟件更加合法，通常具有正確且最新的證書。

Quod Orbis 公司首席執行官MartinGreenfield對CSO表示：“企業自己的工具已經變成了雙刃劍，RMM解決方案很可能成為攻擊者的首選特洛伊木馬。”

威脅情報公司稱，對于某些威脅行為者而言，“RMM工具已成為維持持久訪問的首選，取代了定制后門和后滲透工具，例如Cobalt Strike和Met