De kracht en het gevaar van RMM-tools

Cyberbeveiliging
De kracht en het gevaar van RMM-tools

Omdat steeds meer mensen op afstand werken, moeten IT-afdelingen apparaten beheren die verspreid zijn over verschillende steden en landen. Voor systeembeheer maken ze gebruik van VPN’s en tools voor externe bewaking en beheer (RMM).

Maar net als elke nieuwe technologie kunnen RMM-tools ook kwaadaardig worden gebruikt. Dreigingsactoren kunnen verbindingen maken met het apparaat van een slachtoffer en opdrachten uitvoeren, gegevens exfiltreren en onopgemerkt blijven.

In dit artikel worden praktijkvoorbeelden van RMM-exploits besproken en wordt uitgelegd hoe u uw organisatie tegen deze aanvallen kunt beschermen.

Wat zijn RMM-tools?

RMM-software vereenvoudigt netwerkbeheer, waardoor IT-professionals op afstand problemen kunnen oplossen, software kunnen installeren en bestanden kunnen uploaden en downloaden van en naar apparaten.

Helaas is deze verbinding niet altijd veilig en kunnen aanvallers schadelijke software gebruiken om hun servers te verbinden met het apparaat van een slachtoffer. Naarmate deze verbindingen echter gemakkelijker te detecteren worden, hebben ransomware-as-a-service (RaaS)-groepen hun methoden moeten aanpassen.

Bij de meeste cyberincidenten die Varonis vorig jaar onderzocht, maakten RaaS-bendes gebruik van een techniek die bekendstaat als Living off the Land. Hierbij gebruikten ze legitieme IT-tools om op afstand controle te krijgen, onopgemerkt door netwerken te navigeren en gegevens te stelen.

RMM-tools stellen aanvallers in staat om zich te mengen en detectie te ontwijken. Zij en hun verkeer worden doorgaans “genegeerd” door beveiligingscontroles en organisatiebeveiligingsbeleid, zoals whitelisting van applicaties.

Deze tactiek is ook handig voor scriptkiddies: zodra ze verbinding hebben, is alles wat ze nodig hebben al geïnstalleerd en staat het voor ze klaar.

Uit ons onderzoek is gebleken dat aanvallers twee hoofdmethoden gebruiken om RMM-tools te manipuleren:

  1. Misbruik maken van bestaande RMM-tools: Aanvallers krijgen in eerste instantie toegang tot het netwerk van een organisatie met behulp van reeds bestaande RMM-tools. Ze misbruiken zwakke of standaardreferenties of toolkwetsbaarheden om toegang te krijgen zonder detectie te activeren.
  2. Nieuwe RMM-tools installeren: Aanvallers installeren hun favoriete RMM-tools door eerst toegang te krijgen tot het netwerk. Ze gebruiken phishing-e-mails of social engineering-technieken om slachtoffers te misleiden zodat ze onbewust de RMM-tool op hun netwerk installeren.

Hieronder vindt u veelvoorkomende RMM-tools en RaaS-gangs:

Voorbeelden uit de praktijk van RMM-exploits

Tijdens een recent onderzoek heeft ons Managed Data Detection and Response (MDDR)-team de gegevens van een organisatie geanalyseerd en in de PowerShell-geschiedenis van een gecompromitteerd apparaat bewijs gevonden van een RMM-tool met de naam ‘KiTTY’.

Deze software was een aangepaste versie van PuTTY, een bekende tool voor het maken van telnet- en SSH-sessies met externe machines. Omdat PuTTY een legitieme RMM-tool is, gaf geen van de beveiligingssoftware van de organisatie aanleiding tot rode vlaggen, dus KiTTY kon omgekeerde tunnels maken via poort 443 om interne servers bloot te stellen aan een AWS EC2-box.

Het Varonis-team voerde een uitgebreide analyse uit. Ze ontdekten dat de sessies naar de AWS EC2-box met KiTTY de sleutel waren tot het onthullen van wat er gebeurde, hoe het werd gedaan en — het allerbelangrijkste — welke bestanden werden gestolen.

Dit cruciale bewijs was een keerpunt in het onderzoek en hielp bij het traceren van de hele aanvalsketen. Het onthulde ook de beveiligingslekken van de organisatie, hoe deze aan te pakken en de mogelijke gevolgen van deze aanval.

Strategieën om RMM-tools te verdedigen

Overweeg de volgende strategieën te implementeren om de kans te verkleinen dat aanvallers misbruik maken van RMM-tools.

Een toepassingscontrolebeleid

Beperk het gebruik van meerdere RMM-tools binnen uw organisatie door een toepassingsbeheerbeleid af te dwingen:

  • Zorg ervoor dat RMM-tools worden bijgewerkt, gepatcht en alleen toegankelijk zijn voor geautoriseerde gebruikers met MFA ingeschakeld
  • Blokkeer proactief zowel inkomende als uitgaande verbindingen op verboden RMM-poorten en -protocollen aan de netwerkperimeter

Eén optie is om een ​​Windows Defender Application Control (WDAC)-beleid te maken met PowerShell dat applicaties op de whitelist zet op basis van hun uitgever. Het is belangrijk om te weten dat het maken van WDAC-beleid beheerdersrechten vereist, en dat het implementeren ervan via Groepsbeleid domeinbeheerdersrechten vereist.

Als voorzorgsmaatregel kunt u het beste het beleid testen in de auditmodus voordat u het implementeert in de afdwingmodus. Zo voorkomt u dat benodigde toepassingen onbedoeld worden geblokkeerd.

  1. Open PowerShell met beheerdersrechten
  2. Een nieuw beleid maken: U kunt een nieuw beleid maken met behulp van de Nieuw-CI-beleid cmdlet. Deze cmdlet neemt een pad naar een directory of een bestand, scant het en maakt een beleid dat toestaat dat alle bestanden in dat pad, zoals uitvoerbare bestanden en DLL-bestanden, op uw netwerk worden uitgevoerd.

    Als u bijvoorbeeld alles wilt toestaan ​​wat door de uitgever van een specifieke applicatie is ondertekend, kunt u het onderstaande voorbeeld volgen:
    New-CIPolicy -FilePath “C:PadNaarApplication.exe” -Level Publisher -UserPEs -Fallback Hash -Enable -OutputFilePath “C:PadNaarPolicy.xml”

    In deze opdracht, -Bestandspad specificeert het pad naar de applicatie, -Level uitgever betekent dat het beleid alles toestaat dat is ondertekend door dezelfde uitgever als de applicatie, en -GebruikerPEs betekent dat het beleid uitvoerbare bestanden in de gebruikersmodus zal bevatten.

    -Terugval-hash betekent dat als het bestand niet is ondertekend, het beleid het zal toestaan ​​op basis van de hash,-Inschakelen betekent dat het beleid zal worden ingeschakeld, en -Uitvoerbestandspad geeft het pad aan waar het beleid wordt opgeslagen.

  3. Converteer het beleid naar een binair formaat: WDAC-beleid moet worden geïmplementeerd in een binair formaat. U kunt het beleid converteren met behulp van de ConvertFrom-CI-beleid cmdlet: ConvertFrom-CIPolicy -XmlFilePath “C:PadNaarPolicy.xml” -BinaryFilePath “C:PadNaarPolicy.bin”
  4. Implementeer het beleid: U kunt het beleid implementeren met behulp van de Group Policy Management Console (GPMC). Hiervoor moet u het .bin-bestand kopiëren naar de map \WindowsSystem32CodeIntegrity op elke computer waarop u het beleid wilt implementeren. Vervolgens moet u de Computerconfiguratie → Beheersjablonen → Systeemapparaatbeveiliging → Windows Defender-toepassingsbeheer implementeren beleidsinstelling op Ingeschakeld zetten en de Gebruik Windows Defender-toepassingsbeheer om uw apparaat te beschermen, kiest u voor de optie Afdwingen.

Continue monitoring

Houd uw netwerkverkeer en logs in de gaten, met name met betrekking tot RMM-tools. Overweeg om services zoals Varonis MDDR te implementeren, die 24x7x365 netwerkbewaking en gedragsanalyse biedt.

Gebruikerstraining en bewustwording

Train uw medewerkers om phishingpogingen te herkennen en wachtwoorden effectief te beheren, aangezien het manipuleren van gebruikers een veelvoorkomende manier is waarop aanvallers toegang krijgen tot uw netwerk. Moedig het melden van verdachte activiteiten aan en test uw cybersecurityteam regelmatig om potentiële risico’s te identificeren.

Verminder uw risico zonder risico’s te nemen.

Naarmate de technologie vordert, krijgen zowel verdedigers als aanvallers een voorsprong. RMM-tools zijn slechts één voorbeeld van de potentiële bedreigingen waarmee organisaties te maken krijgen.

Bij Varonis is het onze missie om te beschermen wat het belangrijkst is: uw gegevens. Ons alles-in-één Data Security Platform ontdekt en classificeert continu kritieke gegevens, verwijdert blootstellingen en stopt bedreigingen in realtime met AI-gestuurde automatisering.

Benieuwd welke risico’s er in uw omgeving kunnen voorkomen? Vraag vandaag nog een Varonis Data Risk Assessment aan.

Onze gratis beoordeling is binnen enkele minuten op te zetten en levert direct waarde op. In minder dan 24 uur heeft u een helder, op risico’s gebaseerd beeld van de data die er het meest toe doen en een duidelijk pad naar geautomatiseerde sanering.

Let op: Dit artikel verscheen oorspronkelijk op de Varonis-blog.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel Watch 3 heeft een piekhelderheid van 2.000 nit, 20% sneller opladen en meer

Qualcomm Snapdragon 4s Gen 2 gaat betaalbare 5G-telefoons aandrijven

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]