信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

如今，勒索軟件團伙正越來越多地利用合法的遠程監(jiān)控和管理(RMM)工具來實施網(wǎng)絡(luò)攻擊。

RMM軟件（例如AnyDesk、Atera和Splashtop）對于IT管理員遠程訪問和管理其網(wǎng)絡(luò)內(nèi)的設(shè)備至關(guān)重要。但勒索軟件團伙也可以利用這些工具滲透公司網(wǎng)絡(luò)并竊取數(shù)據(jù)。

在這篇文章中，我們將深入研究勒索軟件團伙如何使用RMM工具，識別最常被利用的RMM工具，并討論如何使用應(yīng)用程序阻止端點檢測和響應(yīng)(EDR)檢測以防止可疑的RMM工具活動。

勒索軟件團伙如何利用RMM工具

勒索軟件團伙主要通過以下三種主要策略來利用遠程監(jiān)控和管理(RMM)工具：

通過預(yù)先存在的RMM工具獲得初始訪問權(quán)限：由于RMM工具通常需要系統(tǒng)訪問憑據(jù)，因此攻擊者可以利用弱或默認的RMM憑據(jù)和漏洞來獲得對網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問。

感染后安裝RMM工具：一旦進入網(wǎng)絡(luò)，勒索軟件攻擊者就可以安裝自己的RMM工具來維持訪問和控制，從而為勒索軟件攻擊奠定基礎(chǔ)。例如，ThreatDown Intelligence團隊注意到勒索軟件攻擊者利用未修補的VMWare Horizon服務(wù)器來安裝Atera的案例。

混合方法：攻擊者可以使用一系列不同的社會工程詐騙（例如技術(shù)支持詐騙或惡意廣告）來誘騙員工將RMM工具安裝到自己的計算機上，從而實現(xiàn)初始訪問和勒索軟件部署機制。

勒索軟件團伙利用的頂級RMM工具

勒索軟件團伙通常使用以下RMM工具來遠程監(jiān)督和控制IT基礎(chǔ)設(shè)施。

Splashtop：專為企業(yè)、MSP和教育機構(gòu)量身定制的遠程訪問和支持解決方案。被勒索軟件團伙CACTUS、BianLian、ALPHV、Lockbit利用。

Atera：面向MSP的集成RMM工具，提供遠程訪問、監(jiān)控和管理。被Royal、BianLian、ALPHV利用。

TeamViewer：用于遠程訪問和支持的軟件。被BianLian利用。

ConnectWise：包含遠程支持、管理和監(jiān)控解決方案的套件。被Medusa利用。

LogMeIn：提供從任何位置對計算機的安全遠程訪問，以進行IT管理和支持。被Royal利用。

SuperOps：結(jié)合了RMM、PSA和其他IT管理功能的MSP平臺。被CACTUS利用。

幾乎所有勒索軟件團伙都在其攻擊中包含了上述RMM工具之一

阻斷勒索軟件團伙濫用RMM攻擊

為了防止勒索軟件團伙濫用RMM工具，企業(yè)可以采取兩種策略：

使用應(yīng)用程序阻止軟件以阻止不必要的RMM工具，以及利用EDR檢測可疑的RMM工具活動。

例如，通過使用Application Block等應(yīng)用程序，企業(yè)可以阻止使用非必要的RMM應(yīng)用程序。

對于AnyDesk等必要工具，EDR/MDR層可以在發(fā)生感染時提供額外的保護層。

勒索軟件攻擊者可以使用AnyDesk建立命令和控制(C&C)服務(wù)器。在一種情況下，威脅分子通過利用未打補丁的服務(wù)器（其開放端口暴露于互聯(lián)網(wǎng)）來滲透客戶環(huán)境。

AnyDesk由威脅分子安裝，如下面的EDR警報所示。此類活動是英特爾團隊在勒索軟件攻擊中進行廣泛加密之前觀察到的典型活動。

EDR使用相關(guān)MITRE技術(shù)檢測惡意RMM工具的使用

與其他旨在促進IT管理的Living Off the Land工具非常相似，RMM工具是雙刃劍。

無論是使用RMM工具進行初始訪問、感染后勒索軟件部署，還是兩者的組合，勒索軟件攻擊者都在提高其攻擊的復(fù)雜性。與此同時，企業(yè)也應(yīng)該積極推出相應(yīng)策略，通過應(yīng)用程序阻止和EDR等技術(shù)有效地減少RMM工具的濫用。