リモート監視・管理(RMM)ツールは、現代のIT運用に不可欠です。管理者は、更新プログラムの配置、問題の修正、デバイスの管理、どこからでもユーザーをサポートするのに役立ちます。
しかし、同じツールは現在攻撃者によって広く悪用されており、信頼できるソフトウェアが密かなサイバー犯罪の入口に変わっています。
セキュリティ研究者によると、RMM悪用が主要な戦術になった理由は、攻撃者がカスタムマルウェアを必要とせず、直接的で相互作用的なアクセスを得られるからです。
悪質なファイルを明白に配置する代わりに、脅威アクターは、多くのビジネス環境で既に信頼されている正当なリモートアクセスツールを使用します。
これにより、彼らは通常のIT活動に溶け込み、既知のマルウェアを検出するように調整されたセキュリティ製品による検出を回避できます。このソフトウェアは承認されたものなので、見逃されやすいのです。
多くの侵入では、攻撃はフィッシングまたはソーシャルエンジニアリングで始まります。ユーザーは、請求書、電子署名要求、ボイスメールアラート、ファイル共有、または偽の招待として偽装されたメールを受け取ります。
被害者がファイルをクリックしてインストールすると、知らないうちに不正なRMMエージェントを展開する可能性があります。そのエージェントは攻撃者に直接接続し、即座のリモートアクセスを提供します。
他の場合では、攻撃者はITスタッフまたはマネージドサービスプロバイダーから有効なRMM認証情報を盗みます。これは特に危険です。1つの侵害されたテクニシャンアカウントが複数の顧客環境へのアクセスを開く可能性があるからです。
内部に入ると、攻撃者はコマンドを実行し、横方向に移動し、データを収集し、防御をオフにし、場合によってはランサムウェアを配置できます。
アクティビティが実際のリモート管理プラットフォームからのものであるため、防御者は最初はそれを日常的な管理と誤認識する可能性があります。
これがRMM悪用を非常に効果的にする理由です。ソフトウェア自体は悪質ではありません。問題はそれがどのように使用されるかです。信頼できるバイナリは自動的にアラートをトリガーせず、多くの組織はデフォルトで承認されたツールが安全であると仮定します。
セキュリティチームはソフトウェアの存在にのみ依存することから離れて、動作の検証を開始する必要があります。つまり、組織内で通常のRMM使用のベースラインを構築することです。
チームは、どのユーザーが通常どのツールを使用するか、それらのツールがいつ使用されるか、どのエンドポイントに接続するか、そしてリモートセッション中にどのようなアクションが予想されるかを知る必要があります。
従業員が午前3時にRMMソフトウェアを使用してスクリプトを実行したり未知のサーバーに接続したりするなど、異常な動作が発生した場合は、迅速に調査する必要があります。
人々は依然として重要な防御レイヤーです。セキュリティ認識トレーニングは、不正なRMMエージェントの配信を試みるフィッシングメールを認識するのに役立ちます。
同時に、ITおよびセキュリティチームは、疑わしいリモートアクセスアクティビティを無視するのではなく、レビューする文化が必要です。
RMMツールは消えることはなく、攻撃者の関心も同様です。信頼できるリモートアクセスソフトウェアが簡単なコントロールと低い可視性を提供する限り、脅威アクターはそれを武器化し続けるでしょう。
翻訳元: https://cyberpress.org/rmm-tools-under-attack/
