来源:Shutterstock
根据安全供应商CrowdStrike的报告,攻击者越来越多地利用合法的网络管理工具来伪装其对企业网络的攻击。这份报告显示,2023年RMM工具的使用同比增加了70。在2023年6月至2024年6月期间,ConnectWise ScreenConnect的滥用程度超过AnyDesk,成为最被滥用的RMM工具。
RMM工具旨在帮助IT部门远程管理系统,但一旦落入坏人之手,这些强大的工具便成为攻击者的完美伪装。
Ben McCarthy,Immersive Labs的首席网络安全工程师表示:“虽然使用RMM工具并不是新型攻击手段,但攻击者越来越青睐这些工具,因为它们相较于自制代码带来了多个优势。”
RMM工具通常由IT经理、网络管理员和安全团队广泛使用,尤其是在混合工作模式下,主要用于修复IT故障、安装程序和在网络之间转移文件,Sygnia的IR研究总监Amir Sadon对CSO说道。
使用合法的RMM工具而非个人开发的工具,攻击者可以在公开视野中隐藏恶意活动,融入正常的网络流量中。
Sadon表示:“各类威胁行为者,尤其是勒索软件集团,已在多年中利用这些RMM工具,这是一种采取合法工具进行恶意活动的策略。”
攻击者可以通过利用现有RMM平台中的漏洞或使用被盗、默认或猜测的凭证来获得初步访问权限。
在许多案例中,攻击组织在通过其他手段突破目标网络后,安装RMM工具以实现持久性或横向移动。不太常见的是,攻击者试图通过网络钓鱼攻击诱骗潜在目标安装RMM工具。
RMM软件使用可执行文件格式,允许网络犯罪分子在不需要管理员权限或完全安装软件的情况下建立本地用户访问。
Martin J Kraemer,KnowBe4的安全意识倡导者指出:“由于这些RMM工具旨在用于合法目的,因此它们通常不会立即引起警觉。任何时候网络犯罪分子能够在雷达下操作,都是对他们而言的宝贵时间,他们可以利用这段时间学习网络,以识别资源和信息。”
远程管理工具免费、易于获取,并且能够提供远程访问和控制,恰好满足了攻击者的需求。RMM工具对非商业应用不要求许可。尽管成本可能很低,但这些工具提供了稳定性、专业的图形用户界面GUI和强大的功能。
Kraemer补充道:“一旦他们获得了网络访问,使用RMM工具保持持久性、执行命令、转移文件以及进行进一步探索都会变得轻而易举。RMM工具大多已经在目标计算机上安装,网络犯罪分子并不需要将它们作为负载投递到系统中。”
狂飙加速器官网RMM软件看起来比定制的恶意软件更加合法,通常具有正确且最新的证书。
Quod Orbis 公司首席执行官Martin Greenfield对CSO表示:“企业自己的工具已经变成了双刃剑,RMM解决方案很可能成为攻击者的首选特洛伊木马。”
威胁情报公司ReliaQuest报告称,对于某些威胁行为者而言,“RMM工具已成为维持持久访问的首选,取代了定制后门和后渗透工具,例如Cobalt Strike和Met
