Le pouvoir et les dangers des outils RMM

Alors que de plus en plus de personnes travaillent à distance, les services informatiques doivent gérer des appareils répartis dans différentes villes et pays en s’appuyant sur des VPN et des outils de surveillance et de gestion à distance (RMM) pour l’administration du système.

Cependant, comme toute nouvelle technologie, les outils RMM peuvent également être utilisés de manière malveillante. Les acteurs malveillants peuvent établir des connexions avec l’appareil d’une victime et exécuter des commandes, exfiltrer des données et rester indétectables.

Cet article couvrira des exemples concrets d’exploits RMM et vous montrera comment protéger votre organisation contre ces attaques.

Que sont les outils RMM ?

Le logiciel RMM simplifie la gestion du réseau, permettant aux professionnels de l’informatique de résoudre les problèmes à distance, d’installer des logiciels et de télécharger des fichiers vers ou depuis des appareils.

Malheureusement, cette connexion n’est pas toujours sécurisée et les attaquants peuvent utiliser des logiciels malveillants pour connecter leurs serveurs à l’appareil d’une victime. Cependant, à mesure que ces connexions deviennent plus faciles à détecter, ransomware en tant que service (RaaS) les groupes ont dû ajuster leurs méthodes.

Dans la plupart des cyberincidents sur lesquels Varonis a enquêté l’année dernière, les gangs RaaS ont utilisé une technique connue sous le nom de Vivre de la terreen utilisant des outils informatiques légitimes pour prendre le contrôle à distance, naviguer sur les réseaux sans être détecté et voler des données.

Les outils RMM permettent aux attaquants de se fondre dans la masse et d’échapper à la détection. Eux et leur trafic sont généralement « ignorés » par les contrôles de sécurité et les politiques de sécurité organisationnelles, telles que la liste blanche des applications.

Cette tactique aide également les script kiddies : une fois connectés, ils trouveront tout ce dont ils ont besoin déjà installé et prêt pour eux.

Nos recherches ont identifié deux méthodes principales utilisées par les attaquants pour manipuler les outils RMM :

Utilisation abusive des outils RMM existants : Les attaquants obtiennent un accès initial au réseau d’une organisation à l’aide d’outils RMM préexistants. Ils exploitent des informations d’identification faibles ou par défaut ou des vulnérabilités d’outils pour accéder au réseau sans déclencher de détection.
Installation de nouveaux outils RMM : Les pirates informatiques installent leurs outils RMM préférés en accédant d’abord au réseau. Ils utilisent des e-mails de phishing ou des techniques d’ingénierie sociale pour inciter les victimes à installer sans le savoir l’outil RMM sur leur réseau.

Vous trouverez ci-dessous les outils RMM courants et les gangs RaaS :

Outils RMM courants et gangs RaaS

Exemples concrets d’exploits RMM

Au cours d’une enquête récente, notre Détection et réponse aux données gérées (MDDR) L’équipe a analysé les données d’une organisation et a trouvé, dans l’historique PowerShell d’un appareil compromis, la preuve d’un outil RMM nommé « KiTTY ».

Ce logiciel était une version modifiée de PuTTY, un outil bien connu pour créer des sessions Telnet et SSH avec des machines distantes. Comme PuTTY est un outil RMM légitime, aucun des logiciels de sécurité de l’organisation n’a déclenché de signal d’alarme, donc KiTTY a pu créer des tunnels inversés sur le port 443 pour exposer les serveurs internes à une boîte AWS EC2.

L’équipe Varonis a mené une analyse complète. Elle a découvert que les sessions sur la box AWS EC2 utilisant KiTTY étaient essentielles pour révéler ce qui s’était passé, comment cela avait été fait et, surtout, quels fichiers avaient été volés.

Cette preuve cruciale a constitué un tournant dans l’enquête et a permis de retracer toute la chaîne d’attaque. Elle a également révélé les failles de sécurité de l’organisation, la manière de les combler et les conséquences potentielles de cette attaque.

Stratégies pour défendre les outils RMM

Envisagez de mettre en œuvre les stratégies suivantes pour réduire le risque que des attaquants abusent des outils RMM.

Une politique de contrôle des applications

Limitez l’utilisation de plusieurs outils RMM par votre organisation en appliquant une politique de contrôle des applications :

Assurez-vous que les outils RMM sont mis à jour, corrigés et accessibles uniquement aux utilisateurs autorisés avec MFA activé
Bloquez de manière proactive les connexions entrantes et sortantes sur les ports et protocoles RMM interdits au niveau du périmètre du réseau

Une option consiste à créer un Contrôle des applications Windows Defender (WDAC) Politique utilisant PowerShell qui met sur liste blanche les applications en fonction de leur éditeur. Il est important de noter que la création de politiques WDAC nécessite des privilèges d’administrateur et que leur déploiement via une stratégie de groupe nécessite des privilèges d’administrateur de domaine.

Par mesure de précaution, vous devez tester la politique en mode audit avant de la déployer en mode application pour éviter de bloquer par inadvertance les applications nécessaires.

Ouvrir PowerShell avec des privilèges administratifs
Créer une nouvelle politique : Vous pouvez créer une nouvelle politique en utilisant le Nouvelle politique CIPolicy applet de commande. Cette applet de commande prend un chemin d’accès à un répertoire ou à un fichier, l’analyse et crée une stratégie qui autorise tous les fichiers de ce chemin, tels que les fichiers exécutables et DLL, à s’exécuter sur votre réseau.
Par exemple, si vous souhaitez autoriser tout ce qui est signé par l’éditeur d’une application spécifique, vous pouvez suivre l’exemple ci-dessous :
New-CIPolicy -FilePath “C:CheminVersApplication.exe” -Level Publisher -UserPEs -Fallback Hash -Enable -OutputFilePath “C:CheminVersPolicy.xml”
Dans cette commande, -Chemin du fichier spécifie le chemin d’accès à l’application, -Éditeur de niveau signifie que la politique autorisera tout ce qui est signé par le même éditeur que l’application, et -UtilisateursPE signifie que la politique inclura les exécutables en mode utilisateur.
-Hachage de secours signifie que si le fichier n’est pas signé, la politique l’autorisera en fonction de son hachage,-Activer signifie que la politique sera activée, et -Chemin du fichier de sortie spécifie le chemin où la politique sera enregistrée.
Convertir la politique en format binaire : Les stratégies WDAC doivent être déployées dans un format binaire. Vous pouvez convertir la stratégie à l’aide de l’ Politique de conversion à partir de CIPolicy applet de commande : ConvertFrom-CIPolicy -XmlFilePath “C:CheminVersPolicy.xml” -BinaryFilePath “C:CheminVersPolicy.bin”
Déployer la politique : Vous pouvez déployer la stratégie à l’aide de la console de gestion des stratégies de groupe (GPMC). Pour ce faire, vous devez copier le fichier .bin dans le répertoire \WindowsSystem32CodeIntegrity sur chaque ordinateur sur lequel vous souhaitez déployer la stratégie. Ensuite, vous devez définir le Configuration de l’ordinateur → Modèles d’administration → Protection des périphériques système → Déployer le contrôle d’application Windows Defender paramètre de politique sur Activé et définissez le Utiliser le contrôle des applications Windows Defender pour aider à protéger votre appareil, option Appliquer.

Contrôle continu

Surveillez le trafic et les journaux de votre réseau, en particulier en ce qui concerne les outils RMM. Envisagez de mettre en œuvre des services tels que Varonis MDDRqui fournit une surveillance du réseau et une analyse comportementale 24h/24, 7j/7 et 365j/an.

Formation et sensibilisation des utilisateurs

Formez vos employés à identifier les tentatives de phishing et à gérer efficacement les mots de passe, car la manipulation des utilisateurs est un moyen courant pour les attaquants d’accéder à votre réseau. Encouragez le signalement des activités suspectes et testez régulièrement votre équipe de cybersécurité pour identifier les risques potentiels.

Réduisez vos risques sans en prendre.

À mesure que la technologie progresse, elle donne un avantage aux défenseurs comme aux attaquants, et les outils RMM ne sont qu’un exemple des menaces potentielles auxquelles les organisations sont confrontées.

Chez Varonis, notre mission est de protéger ce qui compte le plus : vos données. Notre solution tout-en-un Plateforme de sécurité des données découvre et classe en continu les données critiques, supprime les expositions et arrête les menaces en temps réel grâce à l’automatisation basée sur l’IA.

Vous êtes curieux de savoir quels risques peuvent être présents dans votre environnement ? Procurez-vous un Varonis Évaluation des risques liés aux données aujourd’hui.

Notre évaluation gratuite ne prend que quelques minutes à mettre en place et offre une valeur ajoutée immédiate. En moins de 24 heures, vous disposerez d’une vue claire et basée sur les risques des données les plus importantes et d’un chemin clair vers une correction automatisée.

Remarque : Ceci article est apparu à l’origine sur le blog de Varonis.

Vous avez trouvé cet article intéressant ? Cet article est une contribution de l’un de nos précieux partenaires. Suivez-nous sur Twitter et LinkedIn pour lire davantage de contenu exclusif que nous publions.

ttn-fr-57

Nicola : “Félicitations aux garçons, Turin est une équipe forte. On parlera de Piccoli”

Bundesliga : le Borussia Dortmund contre le FC St. Pauli – le résumé

Horreur au Stadsschouwburg et autres sorties à Groningen et Drenthe

“Joueurs de football professionnels : le sponsor saoudien de la Fifa est un cauchemar, un doigt d’honneur pour le football féminin”