Hackers Use RMM Tools to Maintain Persistence and Navigate Networks Undetected
Hackers Use RMM Tools to Maintain Persistence and Navigate Networks Undetected
Threat actors have increasingly been leveraging legitimate remote monitoring and management (RMM) software.
gbhackers.com
- 공격자 RMM 툴 악용 배경
- AnyDesk, TeamViewer, Atera, NetSupport 등 합법적인 원격 모니터링 및 관리(RMM) 툴을 악용
- RMM 툴은 IT 유지보수, 자산관리, 원격지원에 사용되는 정상 프로그램으로 탐지가 어려움
- 공격자는 신뢰받는 IT 도구로 위장하여 탐지를 우회하고 장기간 은밀히 시스템에 접근 가능
- 주요 침투 및 지속 기법
- 피싱 메일, 사회공학 기반 통화 등으로 사용자를 속여 RMM 툴 설치 유도
- 설치 후 공격자는 내부 네트워크 구조 파악 및 권한 탈취를 통해 횡적 이동(Lateral Movement) 수행
- 백업용 RAT(Remote Access Trojan) 설치 또는 리버스 셸(reverse shell)을 통해 지속적 접근 유지
- 예: Black Basta 랜섬웨어 그룹이 AnyDesk, TeamViewer 설치 유도로 추가 악성코드 배포 및 데이터 탈취
- 탐지 우회 전략
- 정상 프로그램으로 서명되어 있으므로 백신이나 EDR 탐지를 우회
- 일반 설치 경로가 아닌 비정상 디렉터리에서 실행됨으로써 보안 로그 감시 회피
- 시스템 프로세스나 사용자 프로세스를 가장하여 존재 은폐
- 위협 헌팅 및 탐지 방법
- SIEM(보안 정보 이벤트 관리), EDR, 로그 통합 플랫폼을 통한 정밀 분석 필요
- 허가되지 않은 RMM 툴의 설치 여부 및 실행 경로 확인
- Splunk, Microsoft Sentinel 등에서 비정상 위치에서 실행되는 AnyDesk 탐지 쿼리 활용
- 다음 단계 악성 행위(예: C2 통신, 추가 페이로드 다운로드) 모니터링 및 추적 분석 필요
- 보안 권고
- RMM 툴 사용 정책 수립 및 승인된 툴만 허용
- 사용자 계정 보호 강화를 위한 다중 인증(MFA) 적용
- 시스템 및 사용자 행위 기반 이상 탐지 강화
- 비인가 원격접속 탐지 시 즉시 격리 및 침해지표(IOC) 기반 확산 방지 조치 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 제주자치도 정보공개포털 통한 개인정보 노출 사건 정리 (0) | 2025.05.03 |
|---|---|
| PHP 취약점 악용해 Quasar RAT 및 XMRig 암호화폐 채굴기 유포 (0) | 2025.05.02 |
| Black Basta 내부 채팅 유출, 러시아 당국 개입 및 BRUTED 기반 대규모 공격 정황 (0) | 2025.05.02 |
| 레거시 드라이버를 활용한 TLS 인증서 유효성 검사 우회 (0) | 2025.05.02 |
| PDF 내부에 Word 악성 매크로 숨기는 새로운 탐지 우회 공격 기법 (0) | 2025.05.02 |