28.4 C
Ho Chi Minh City

Đe Dọa Sử Dụng Phần Mềm Giám Sát RMM: Mối Nguy Khôn Lường

Phân tích chuyên sâuThực hành bảo mật

Published:

Reading time: 5 min.

Bài viết cung cấp thông tin chi tiết về cách mà các tác nhân đe dọa sử dụng phần mềm giám sát và quản lý từ xa (RMM) hợp pháp để thâm nhập và điều hướng qua mạng mà không bị phát hiện. Dưới đây là các điểm chính:

Kỹ Thuật Khai Thác

  1. Thông Tin Đăng Nhập Bị Xâm Nhập: Tin tặc có được quyền truy cập vào phần mềm RMM bằng cách xâm nhập thông tin đăng nhập qua các chiến thuật kỹ thuật xã hội hoặc khai thác những lỗ hổng trong phần mềm lỗi thời.
  2. Lập Bản Đồ Mạng và Xác Định Tài Sản: Khi đã xâm nhập, họ sử dụng những công cụ này để lập bản đồ mạng, xác định tài sản giá trị và di chuyển ngang bằng cách sử dụng các thông tin đăng nhập đã thu thập.
  3. Các Hoạt Động Độc Hại: Điều này cho phép họ trích xuất dữ liệu nhạy cảm, triển khai ransomware hoặc phát động các cuộc tấn công khác.

Duy Trì Tính Bền Vững

  1. Cài Đặt Các RAT Bổ Sung: Để duy trì tính bền vững, kẻ tấn công thường cài đặt các công cụ truy cập từ xa (RAT) bổ sung làm phương tiện dự phòng cho các phiên làm việc từ xa hoặc thiết lập kết nối đảo ngược tới các máy chủ do đối thủ kiểm soát.
  2. Chiến Thuật Giả Mạo: Trong các chiến dịch gần đây, các tác nhân đe dọa đã sử dụng phần mềm RMM để giả mạo nhân viên hỗ trợ IT, lừa nạn nhân cài đặt phần mềm truy cập từ xa dưới những lý do giả mạo.

Phát Hiện và Săn Lùng Mối Đe Dọa

  1. Chiến Lược Săn Lùng Mối Đe Dọa Nhắm Mục Tiêu: Phát hiện việc sử dụng độc hại các công cụ RMM đòi hỏi các chiến lược săn lùng mối đe dọa nhắm mục tiêu. Các đội ngũ bảo mật có thể bắt đầu bằng việc kiểm tra xem có ứng dụng RMM không được phép nào đang hoạt động trên mạng hay không.
  2. Địa Điểm Thực Thi Bất Thường: Nếu các công cụ RMM được phép, những người điều tra nên tìm kiếm các địa điểm thực thi bất thường, chẳng hạn như thực thi từ các thư mục không bình thường thay vì các đường dẫn tiêu chuẩn như AppData hay Program Files.
  3. Sử Dụng Các Công Cụ SIEM và EDR: Việc sử dụng các công cụ quản lý sự kiện và sự cố bảo mật (SIEM), phần mềm phát hiện và phản hồi điểm cuối (EDR), và các nền tảng tổng hợp nhật ký có thể giúp xác định các hoạt động đáng ngờ.

Ví Dụ Thực Tế

  1. Thực Thi AnyDesk Từ Thư Mục Bất Thường: Một gói tìm kiếm để phát hiện thực thi AnyDesk từ các thư mục bất thường có thể được sử dụng với các công cụ như Splunk hoặc Microsoft Sentinel để phát hiện hoạt động độc hại tiềm tàng.
  2. Các Chiến Dịch Thực Tế: Chẳng hạn, nhóm ransomware Black Basta đã được biết đến với việc sử dụng các cuộc tấn công spam sau đó là các cuộc gọi giả mạo để thuyết phục nạn nhân cài đặt các công cụ RMM như AnyDesk hoặc TeamViewer.

Kết Luận

Bài viết nhấn mạnh sự cần thiết cho các tổ chức phải cảnh giác về việc sử dụng các công cụ RMM và triển khai các biện pháp bảo mật nghiêm ngặt để phát hiện và ngăn chặn việc lạm dụng những công cụ hợp pháp này bởi các tác nhân đe dọa. Điều này bao gồm việc giám sát định kỳ, cập nhật phần mềm và sử dụng các kỹ thuật săn lùng mối đe dọa tiên tiến để nhận diện và giảm thiểu các nguy cơ tiềm tàng.

Nguồn Tổng Hợp

Bài viết liên quan

spot_img

Bài viết gần đây

spot_img

©2024 Blog An Toàn Thông Tin - Trang tin nội bộ APPCONNECT