V návaznosti na loňský plugin LOLDriver vydává společnost Tenable Research detekční pluginy pro špičkové nástroje pro vzdálené monitorování a správu (RMM), které útočníci stále častěji využívají v prostředích obětí.
Pojďme zpět do roku 2024
V srpnu 2024 vydala společnost Tenable Research detekční plugin pro Nessus, Tenable Security Center a Tenable Vulnerability Management, který zákazníkům pomáhá identifikovat rizikové ovladače Windows od třetích stran, které útočníci používají k eskalaci oprávnění na oběťech. V rámci pokračujícího výzkumu nástrojů LOTL (Living Off the Land) používaných útočníky vydáváme nové detekční pluginy pro oblíbené aplikace pro vzdálené monitorování a správu (RMM).
Zvýšené riziko z nástrojů RMM
Pracovníci IT provozu a informační bezpečnosti se často potřebují vzdáleně připojit ke strojům desítky, možná i stovkykrát denně, aby vyřešili problém nebo zajistili správné fungování systému. Administrátor nebo technik podpory se musí dostat k terminálu na serveru v datovém centru na vzdáleném kontinentu nebo k pracovní stanici uživatele doma. Vzhledem k tomu, že se role vzdáleného pracovníka za posledních 20 let v organizacích dramaticky rozšířila, vedlo to k zavedení produktů RMM v podnikových prostředích.
Architektura těchto produktů je poměrně přímočará: posluchač na počítači uživatele, často označovaný jako agent, hostitel nebo server a aplikace pro připojení k počítači a jeho ovládání, často označovaná jako prohlížeč nebo klient. V mnoha případech je toto připojení usnadněno proxy systémem, který udržuje inventář dostupných počítačů v prostředí, což umožňuje administrátorovi vybrat jeden ze seznamu, použít uložené přihlašovací údaje a sledovat stav posluchačů. Tento proxy systém může být umístěn lokálně, v cloudu nebo hostován dodavatelem RMM jako SaaS aplikace.
Zdroj: Tenable, květen 2025
I když se tyto nástroje mohou zdát šikovné, útočníci o jejich existenci vědí. Mohou je použít k přímému grafickému ovládání počítačů oběti, často na úrovni oprávnění, která je záměrně zvýšena. Jak se tedy útočníci k tak cennému zdroji dostanou?
Scénáře útoků pro nástroje RMM
Existuje několik způsobů, jak může útočník získat přístup k nástrojům RMM organizace:
- Opětovné použití přihlašovacích údajů. Útočník ukradne přihlašovací údaje patřící privilegovanému uživateli, a to buď prostřednictvím sociálního inženýrství, krádeže z pracovní stanice uživatele nebo kontroly nad službou identity. Tyto přihlašovací údaje se používají k ověření v centrální službě RMM nebo k jednoduchému přímému připojení k posluchači.
- Zneužití zranitelnosti v produktu RMM. Mnoho aplikací RMM má medializované zranitelnosti, které umožňují zvýšení oprávnění nebo vzdálené spuštění kódu.
- Zvýšení oprávnění. Útočník může získat kontrolu nad pracovní stanicí nebo serverem používaným správcem a spustit odtud klientskou aplikaci RMM s využitím legitimního přístupu tohoto správce.
A samozřejmě, útočníci s dostatečnými oprávněními mohou jednoduše nasadit nástroj RMM dle vlastního výběru na kompromitovaný prostředek, což jim umožní dosáhnout trvalosti a vzdáleného velení a řízení. Povaha moderního designu nástrojů RMM umožňuje útočníkům v některých případech monitorovat a ovládat prostředek bez formální instalace softwarového balíčku, což by mohlo spustit upozornění bezpečnostního týmu organizace.
Obranné strategie pro neoprávněné použití nástrojů RMM
Zralý bezpečnostní program aktualizuje ochranný, monitorovací a reakční přístup organizace s cílem řešit riziko, které představují nástroje RMM.
Mezi tyto strategie patří:
- Výběr autorizovaného produktu nebo sady RMM pro organizaci. To umožní bezpečnostním týmům, které inventarizují software ve svých aktivech, rychle odhalit použití neoprávněných nástrojů RMM, které mohl zavést útočník.
- Audit používání autorizovaného produktu RMM. Nechte administrátory, kteří tyto nástroje používají, pravidelně kontrolovat zprávy o provedených relacích, aby se ujistili, že nedošlo k žádné neoprávněné aktivitě. Prošetřete tyto neoprávněné relace co nejdříve po jejich zjištění.
- Kontrola síťového provozu mezi prostředky (zejména vzdálenými prostředky) a internetem. Identifikace připojení ke známým webovým stránkám nástrojů RMM, např. stahování nástrojů nebo přístup k proxy serveru nebo webu pro správu.
- Skenování prostředí za účelem hledání naslouchacích služeb. Tuto strategii lze použít k identifikaci služeb patřících k nástrojům RMM.
Jak mohou zákazníci společnosti Tenable zmírnit riziko spojené s nástroji RMM?
Tenable má několik existujících pluginů, které dokáží detekovat několik různých druhů nástrojů RMM.
Patří mezi ně:
- Nástroje pro inteligentní rozhraní pro správu platformy (IPMI), jako jsou iDRAC, iLO, ILOM a CIMC a také širší detekce pro jakoukoli službu s protokolem IPMI.
- Sady pro správu systémů, jako například Microsoft Configuration Manager, BigFix, Altiris, Tanium, LanDesk / Ivanti EM, Workspace ONE UEM/AirWatch, ManageEngine Endpoint Central a JAMF.
- Nástroje pro spolupráci (ano, útočníci je také používají), jako Zoom, Teams a WebEx.
Společnost Tenable také vydává řadu pluginů Nessus pro detekci mnoha běžně používaných komerčních a open source produktů RMM nebo Remote Access Tool:
| Produkt | Pluginy |
| TeamViewer | 52715, 206009 105111, 121245 |
| VRemotePC | 232745, 232746, 232747 |
| Pritunl | 232836, 232837, 232838, 232839 |
| Google Chrome Remote Desktop | 232692, 232693, 232694 |
| Duet Display | 232296, 232295 |
| Connectwise ScreenConnect | 192391, 190883, 190894 |
| Apache Guacamole | 232291 |
| JumpDesktop | 232297, 232298 |
| TSplus Remote Access | 232591 |
| AnyViewer | 232316, 232315 |
| Parsec Remote Access | 232649, 232651, 232650 |
| VNC Connect | 232582, 232580, 232581 |
| Termius | 232292, 232293, 232294 |
| LogMeIn | 232654, 122754 |
| GoodAccess | 233552, 233553, 233554 |
| ISL Light | 232853, 232854, 232855 |
| OpenVPN | 154346, 191048, 125356, 56022, 107073, 232856, 232857 |
| NoMachine Remote Access | 233323, 233324, 233325 |
| RustDesk Remote Desktop | 233292, 233291, 233288, 233289, 233290 |
| Remote Utilities | 233555, 233556, 233557 |
| WinGate | 234718 |
| AirDroid | 233774, 233775, 233776 |
| AnyDesk | 189953, 189955, 189973 |
Pro mnoho z těchto aplikací existují také pluginy Nessus Web App Scanning, které mohou pomoci detekovat webové uživatelské rozhraní aplikací, pokud lokální detekce služby není možná.
V Tenable Nessus byla vytvořena nová šablona skenování s názvem Vzdálené monitorování a správa (Remote Monitoring and Management), která kontroluje tuto sadu produktů RMM. Zákazníci mohou šablonu skenování použít k ověření, zda jsou nalezené instance autorizovány pro použití v organizaci. Důrazně se doporučuje skenovat s přihlašovacími údaji, aby bylo možné provést podrobnější vyhledávání těchto produktů.
Budoucí vývoj
Provozní a podpůrné týmy IT se budou i nadále spoléhat na nástroje RMM pro zvýšení produktivity, a to i přes to, že je útočníci stále častěji zneužívají. Společnost Tenable očekává, že se objeví nová řešení RMM a že velké sady systémů pro správu budou dále integrovat funkce vzdálené správy přímo do svých platforem.
Výzkumníci v oblasti zranitelností a hrozeb se mezitím zaměří na tyto nástroje a budou identifikovat slabiny a příležitosti k jejich zneužití a také na jejich využití útočníky. Jakmile budou objeveny další zranitelnosti a nové zprávy o hrozbách odhalí používání nových i stávajících nástrojů, plánuje Tenable publikovat pluginy pro detekci a vyhledávání zranitelností. Vzhledem k tomuto rostoucímu prostoru musí organizace zůstat ostražité a zajišťovat neustálé monitorování, včasné opravy a silné bezpečnostní postupy týkající se nástrojů RMM.
Pro další informace nás neváhejte kontaktovat.
Zdroj: Tenable
