Site icon Kiber.ba

Moć i opasnost od RMM alata

Moć i opasnost od RMM alata-Kiber.ba

Moć i opasnost od RMM alata-Kiber.ba

Kako sve više ljudi radi na daljinu, IT odjeli moraju upravljati uređajima distribuiranim u različitim gradovima i zemljama oslanjajući se na VPN-ove i alate za daljinsko praćenje i upravljanje (RMM) za administraciju sistema.

Međutim, kao i svaka nova tehnologija, RMM alati se takođe mogu zlonamjerno koristiti. Akteri prijetnje mogu uspostaviti veze s uređajem žrtve i pokrenuti komande, eksfiltrirati podatke i ostati neprimećeni.

Ovaj tekst će pokriti primjere iz stvarnog svijeta RMM eksploatacije i pokazati vam kako zaštititi svoju organizaciju od ovih napada.

Šta su alati za RMM?

Softver RMM pojednostavljuje upravljanje mrežom, omogućavajući IT profesionalcima da daljinski rješavaju probleme, instaliraju softver i otpremaju ili preuzimaju datoteke na ili sa uređaja.

Nažalost, ova veza nije uvijek sigurna i napadači mogu koristiti zlonamjerni softver da povežu svoje servere s uređajem žrtve. Kako ove veze postaju lakše otkriti, grupe ransomware-as-a-service (RaaS) morale su prilagoditi svoje metode.

U većini cyber incidenata koje je Varonis istraživao prošle godine, RaaS bande su koristile tehniku poznatu kao Living off the Land, koristeći legitimne IT alate za dobijanje daljinske kontrole, neotkrivene navigacije mrežama i krađu podataka.

RMM alati omogućavaju napadačima da se stapaju i izbjegnu otkrivanje. Oni i njihov promet se obično “ignoriraju” sigurnosnim kontrolama i organizacijskim sigurnosnim politikama, kao što je stavljanje aplikacija na bijelu listu.

Ova taktika takođe pomaže da skripte klincima — kada se povežu, naći će sve što im treba već instalirano i spremno za njih.

Naše istraživanje identificiralo je dvije glavne metode koje napadači koriste za manipulaciju RMM alatima:

U nastavku su uobičajeni RMM alati i RaaS grupe:

Uobičajeni RMM alati i RaaS grupe

Primjeri iz stvarnog svijeta RMM eksploatacije

Tokom nedavne istrage, naš tim za Managed Data Detection and Response (MDDR) analizirao je podatke organizacije i pronašao, u PowerShell istoriji kompromitovanog uređaja, dokaze o RMM alatu nazvanom “KiTTY”.

Ovaj softver je bio modificirana verzija PuTTY-a, dobro poznatog alata za kreiranje telnet i SSH sesija sa udaljenim mašinama. Budući da je PuTTY legitiman RMM alat, nijedan sigurnosni softver organizacije nije podigao nikakvu crvenu zastavu, tako da je KiTTY bio u mogućnosti da kreira obrnute tanele preko porta 443 da izloži interne servere AWS EC2 kutiji.

Varonis tim je izvršio opsežnu analizu. Otkrili su da su sesije AWS EC2 kutije koristeći KiTTY bile ključne za otkrivanje onoga što se dogodilo, kako je to urađeno i — što je najvažnije — koje su datoteke ukradene.

Ovaj ključni dokaz bio je prekretnica u istrazi i pomogao je da se uđe u trag čitavom lancu napada. Takođe je otkrio sigurnosne nedostatke organizacije, kako ih riješiti i potencijalne posljedice ovog napada.

Strategije zaštite RMM alata

Razmislite o implementaciji sljedećih strategija kako biste smanjili šansu da napadači zloupotrebe RMM alate.

Pravila kontrole aplikacije

Ograničite svoju organizaciju da koristi više RMM alata nametanjem politike kontrole aplikacija:

Jedna od opcija je kreiranje politike kontrole aplikacija Windows Defendera (WDAC) pomoću PowerShell-a koja stavlja aplikacije na white listu na osnovu njihovog izdavača. Važno je napomenuti da kreiranje WDAC politika zahtijeva administrativne privilegije, a njihovo implementiranje putem grupnih politika zahtijeva administrativne privilegije domene.

Kao mjeru predostrožnosti, trebali biste testirati politiku u modu revizije prije nego što je implementirate u načinu provedbe kako biste izbjegli nenamjerno blokiranje potrebnih aplikacija.

Stalno praćenje

Pratite svoj mrežni promet i zapise, posebno u vezi s RMM alatima. Razmislite o implementaciji usluga kao što je Varonis MDDR, koji pruža nadzor mreže 24x7x365 i analizu ponašanja.

Obuka korisnika i podizanje svijesti

Obučite svoje zaposlene da identifikuju pokušaje krađe identiteta i efikasno upravljaju lozinkama, jer je manipulacija korisnicima uobičajen način na koji napadači dobijaju pristup vašoj mreži. Podstaknite prijavljivanje sumnjivih aktivnosti i redovno testirajte svoj tim za cyber sigurnost kako biste identifikovali potencijalne rizike.

Smanjite rizik bez preuzimanja.

Kako tehnologija napreduje, daje prednost i braniocima i napadačima, a RMM alati samo su jedan primjer potencijalnih prijetnji s kojima se organizacije suočavaju.

Naša misija u Varonisu je zaštititi ono što je najvažnije: vaše podatke. Naša sveobuhvatna platforma za sigurnost podataka kontinuirano otkriva i klasifikuje kritične podatke, uklanja izloženost i zaustavlja prijetnje u realnom vremenu uz automatizaciju koju pokreće umjetna inteligencija.

Radoznali ste da vidite koji bi rizici mogli preovladavati u vašem okruženju? Nabavite Varonis Data procjenu rizika danas.

Naša besplatna procjena traje samo nekoliko minuta da se postavi i odmah daje vrijednost. Za manje od 24 sata imat ćete jasan pogled na podatke koji su najvažniji, zasnovan na riziku, i jasan put do automatiziranog popravljanja.

Napomena: Ovaj se članak prvobitno pojavio na Varonis blogu, a napisao ga je Tom Barnea, stručnjak za sigurnost u Varonisu.

Izvor:THe Hacker News

Exit mobile version