El software de monitoreo y gestión remota (RMM) ha sido durante mucho tiempo el socio silencioso de los ingenieros de la disposición de ayuda, automatizando los ciclos de parches y las sesiones de solución de problemas en las empresas extensas.
Sin embargo, durante el año pasado, las mismas consolas remotas han sido reutilizadas en silencio por pandillas de ransomware que anhelan la confianza incorporada, los privilegios elevados y los túneles cifrados que estas herramientas proporcionan.
Al disfrazarse de una actividad legítima de TI, los operadores penales evitan las soluciones de detección de punto final que permanecen sintonizados para las balizas de malware clásicas, no para los binarios sancionados que se firman desde la nube.
El pivote hacia las intrusiones basadas en RMM se aceleró a fines de 2014 cuando varias campañas reemplazaron los cargadores personalizados con agentes listos como Anydesk, ScreenConnect, PDQ Deploy y SimpleHelp.
Los atacantes simplemente montan los canales de actualización normales del instalador o los paquetes troyanizados de plantas en señuelos de phishing, luego ventilan lateralmente y organizan datos para la doble extensión a los pocos minutos de la primera ejecución.
En múltiples incidentes, la carga útil de ransomware en sí se activó semanas después de la cabeza de playa inicial, lo que permite que la exfiltración continúe inadvertida detrás de la charla administrativa de rutina.
Analistas de Cato Networks anotado La tendencia mientras se reconstruye forense de red en tres organizaciones víctimas: un fabricante del Reino Unido golpeado por Hunters International, una empresa de construcción estadounidense paralizada por Medusa, y una organización sin fines de lucro violada por una afiliada no identificada.
Las capturas de paquetes en cada caso mostraron un pico revelador de flujos TCP/7070 salientes, el puerto Rendezvous de Anydesk, seguido por transferencias de archivos cifrados a los relés de la nube.
Debido a que los binarios fueron firmados y ya blancos por la política, los registros de puntos finales no aumentaron las banderas rojas. Una inspección más profunda del tráfico reveló que los agentes RMM sirven como goteros de malware multifunción.
Descargan scripts de PowerShell arbitrarios, programan tareas de persistencia e incluso orquestan el despliegue masivo del casillero final a través de sus propios módulos de distribución de software.
El dilema de doble uso obliga a los defensores a inspeccionar el contexto, como el uso por primera vez en un anfitrión o sesiones inesperadas fuera de horas, en lugar de depender de las reglas basadas en la firma.
Evasión de detección a través de túneles con certificado
La capacidad más insidiosa abusada por los operadores es el túnel TLS de certificado incrustado en muchas ofertas comerciales de RMM.
Debido a que el agente valida solo la cadena de certificados codificada del proveedor, la intercepción SSL tradicional o el sandboxing no pueden romper e inspeccionar la carga útil sin activar una falla de conexión.
Detección de una conexión sospechosa de Anydesk y respuesta automatizada en Cato XDR (Fuente-Cato Networks)
Los adversarios explotan esta garantía de privacidad para impulsar los dos guiones de la etapa y los gigabytes de la propiedad intelectual.
El siguiente fragmento de PowerShell, recuperado del caso de Hunters International, ilustra cómo un atajo .lnk.
$ session = inicio-proceso “c: \\ archivos de programa \\ anydesk \\ anydesk.exe” `-argumentList”-with-session-coode = 742983451 –plain “` -WindowStyle hidden -passthru; Inicio -sueño -seconds 5; $ session.waitforexit ()
Aquí, el atacante invoca un binario existente, pasa un código de sesión previamente asignado, oculta la ventana y renuncia al control una vez que el canal de escritorio remoto está activo.
Debido a que no se escribe ningún nuevo ejecutable en el disco, las heurísticas conductuales que se centran en los eventos de creación de archivos siguen siendo ciegos.
Hasta que los proveedores expongan la telemetría granular, como huellas digitales de destino y banderas de CLI inesperadas, los equipos de seguridad deben combinar la detección de anomalías de la red con políticas de acceso estrictas basadas en roles para detectar el primer lanzamiento de consolas no autorizados antes de que los hilos de cifrado comiencen a rastrear.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
