Атаки на расстоянии: сила и опасность RMM-инструментов

Поскольку все больше людей работают удаленно, ИТ-отделам приходится управлять устройствами, распределенными по разным городам и странам. В этом специалистам помогают VPN и инструменты удаленного мониторинга и управления (Remote Monitoring and Management, RMM) для системного администрирования.

Однако, как и любая новая технология, инструменты RMM могут также использоваться в злонамеренных целях. Злоумышленники могут устанавливать соединения с устройством жертвы, выполнять команды, похищать данные и оставаться незамеченными. В статье будут рассмотрены реальные примеры использования уязвимостей RMM и показано, как защитить свою организацию от атак.

Что такое инструменты RMM?

RMM (Remote Monitoring and Management) — это программное обеспечение, используемое IT-специалистами и поставщиками управляемых услуг (MSP) для удаленного управления и мониторинга компьютерных систем и сетевой инфраструктуры клиентов.

Однако киберпреступники все чаще используют эти инструменты в своих злонамеренных целях. В этой статье рассмотрим, как хакеры могут злоупотреблять RMM-инструментами, и приведем реальные примеры.

Инструменты RMM позволяют злоумышленникам избежать обнаружения. Хакеры и их трафик обычно игнорируются средствами контроля и политиками безопасности организаций. В ходе нашего исследования были выявлены основные методы, которые злоумышленники используют для манипулирования инструментами RMM:

Методы эксплуатации

1. Злоупотребление существующими инструментами RMM: Хакеры часто используют слабые или стандартные учетные данные и уязвимости в существующих RMM-инструментах. Получив доступ, злоумышленники могут незаметно перемещаться по сети. Такой метод известен как Living off the Land (LotL), когда хакеры используют уже установленные в системе легитимные инструменты, чтобы избежать обнаружения.
2. Установка новых инструментов RMM после заражения: После проникновения в сеть злоумышленники могут устанавливать собственные RMM-инструменты для поддержания доступа и контроля. Такая тактика использовалась с инструментом Action1, которая позволила субъектам угроз проводить разведку и выполнять код с системными привилегиями на сетевых узлах.
3. Гибридный подход: Киберпреступники также используют фишинг, чтобы обманом заставить пользователей установить RMM-инструменты.

Реальные примеры

1. Эксплуатация KiTTY и PuTTY: В одном из случаев злоумышленники использовали модифицированную версию PuTTY под названием KiTTY для создания обратных туннелей, что позволило получить доступ к внутренним серверам через внешние облачные сервисы и открыло возможность похитить конфиденциальные данные без обнаружения средствами безопасности​.
2. Злоупотребление Atera Agent: Хакерская группа TA450 использовала безобидный на вид MSI-файл для установки AteraAgent, что дало возможность использовать привилегии RMM для эксфильтрации данных и установки дополнительного вредоносного ПО, оставаясь незамеченными.
3. Атака вымогательского ПО REvil: В атаке на Kaseya злоумышленники эксплуатировали уязвимости в инструменте RMM, что привело к шифрованию данных на тысячах устройств по всему миру. Атака подчеркнула риски уязвимостей в цепочке поставок инструментов RMM, когда инструменты MSP становятся вектором для распространения вредоносного ПО.

Стратегии защиты инструментов RMM

Ограничьте использование нескольких инструментов RMM в своей организации, внедрив политику контроля приложений:

• Убедитесь, что инструменты RMM обновлены, исправлены и доступны только авторизованным пользователям с включенной многофакторной аутентификацией.
• Блокировать как входящие, так и исходящие соединения на запрещенных портах и ​​протоколах RMM на периметре сети.

Одним из вариантов является создание политики Windows Defender Application Control (WDAC) с помощью PowerShell, которая добавляет приложения в белый список на основе издателя. Важно отметить, что создание политик WDAC требует административных привилегий, а их развертывание с помощью групповой политики требует административных привилегий домена.

В качестве меры предосторожности следует протестировать политику в режиме аудита перед ее развертыванием в режиме принудительного применения, чтобы избежать непреднамеренной блокировки необходимых приложений.

1. Откройте PowerShell с правами администратора.
2. Создайте новую политику: Вы можете создать новую политику с помощью командлета New-CIPolicy, который берет путь к каталогу или файлу, сканирует его и создает политику, которая разрешает запуск в вашей сети всех файлов по этому пути, например, исполняемых файлов и DLL.

Например, если вы хотите разрешить все, подписанное издателем определенного приложения, вы можете следовать примеру:
New-CIPolicy -FilePath "C:\Path\To\Application.exe" -Level Publisher -UserPEs -Fallback Hash -Enable -OutputFilePath "C:\Path\To\Policy.xml"

В этой команде -FilePath указывает путь к приложению, -Level Publisher означает, что политика разрешит все, подписанное тем же издателем, что и приложение, а -UserPEs означает, что политика будет включать исполняемые файлы пользовательского режима.

-Fallback Hash означает, что, если файл не подписан, политика разрешит его на основе его хеша, -Enable означает, что политика будет включена, а -OutputFilePath указывает путь, по которому будет сохранена политика.

1. Преобразуйте политику в двоичный формат: Политики WDAC должны быть развернуты в двоичном формате. Вы можете преобразовать политику с помощью командлета ConvertFrom-CIPolicy : ConvertFrom-CIPolicy -XmlFilePath "C:\Path\To\Policy.xml" -BinaryFilePath "C:\Path\To\Policy.bin"
2. Развертывание политики: Вы можете развернуть политику с помощью консоли управления групповыми политиками (GPMC). Для этого необходимо скопировать файл .bin в каталог \\Windows\System32\CodeIntegrity на каждом компьютере, где вы хотите развернуть политику. Затем необходимо установить для параметра политики Конфигурация компьютера → Административные шаблоны → Системный Device Guard → Развернуть управление приложениями Защитника Windows значение Включено, а для параметра Использовать управление приложениями Защитника Windows для защиты вашего устройства — значение Принудительно.

Чтобы защититься от злоупотребления инструментами RMM, организациям следует реализовать дополнительные меры безопасности:

• Использование официального ПО: Убедитесь, что все инструменты RMM загружаются с официальных веб-сайтов поставщиков и имеют правильные подписи и сертификаты.
• Усиленный контроль доступа: Внедрите многофакторную аутентификацию (MFA) для всех инструментов RMM, чтобы снизить риск несанкционированного доступа.
• Внимательное управление исправлениями: Регулярно обновляйте и устанавливайте патчи для инструментов RMM, чтобы защититься от известных уязвимостей.
• Ограничение прав доступа: Ограничьте права пользователей до минимально необходимых уровней, избегая стандартного административного доступа.
• Регулярные аудиты: Проводите частые аудиты прав доступа и логов RMM, чтобы выявлять и устранять любые аномальные активности или попытки несанкционированного доступа​.
• Обучение и осведомленность. Обучите своих сотрудников распознавать попытки фишинга и эффективно управлять паролями, поскольку манипулирование пользователями — это распространенный способ, которым злоумышленники получают доступ к вашей сети. Поощряйте сообщения о подозрительной активности и регулярно проверяйте свою команду по кибербезопасности, чтобы выявлять потенциальные риски.

В заключение, важно отметить, что хотя RMM-инструменты предлагают значительные преимущества для управления IT-инфраструктурой, их внедрение и использование сопряжено с рядом вызовов, в том числе с угрозами кибератак. Тщательное планирование, учет всех аспектов и взвешенный подход к выбору и внедрению RMM-решения помогут минимизировать потенциальные недостатки и максимизировать пользу от использования этих мощных инструментов управления.