2023年1月25日,美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)和多州信息共享与分析中心(MS-ISAC)联合发布了《防止恶意使用远程监控和管理软件》(Protecting Against Malicious Use of Remote Monitoring and Management Software)联合网络安全咨询文件,旨在帮助网络防御人员防止恶意使用合法的远程监控和管理(RMM)软件

美国NSA、CISA和MS-ISAC联合发布《防止恶意使用远程监控和管理软件》指南

编译作者:网安观察员红星

全文摘要与关键词

1.安全事件起始:CISA发现合法的远程监控和管理工具被恶意使用,导致针对个人或组织机构的安全事件。

2.CISA提出指南建议:CISA缓解部分中提出多项建议:入侵检测指标、缓解措施以及可参考资源。

3.简析:远程监控和管理软件沦为攻击隐形工具,需提升用户的安全防范意识以及积极采取措施避免安全事件的发生。

使用远程监控和管理软件的可移植可执行文件为网络运维人员提供了一种无需管理权限和完整软件安装即可建立本地用户访问的方式,从而有效地绕过了常见的软件控制和风险管理假设。该指南强烈建议网络运维人员阅读危害指标和缓解措施部分,并用这些建议来防止对合法远程监控和管理软件的恶意使用

01

安全事件起始

1.1 安全事件起因

2022年10月,CISA运营和监管的联邦民事执行局(FCEB)的入侵检测系统发现了两起FCEB网络上可疑的恶意活动

2022年6月中旬,恶意网络行为者向一名FCEB员工的政府电子邮件地址发送了一封包含电话号码的网络钓鱼电子邮件,该员工拨打电话号码后,导致其访问了myhelpcare[.]在线恶意域名;

2022年9月中旬,FCEB网络和myhelpcare[.]cc之间发生双向通信。

恶意网络行为者发送钓鱼邮件,导致受害者下载合法的RMM软件,遭受损失。

1.2 CISA发现问题

CISA分析和评估了该事件,发现是合法的远程监控和管理工具被恶意使用。远程监控和管理软件被下载后,网络恶意行为者利用该软件发起退款骗局

网络恶意攻击者首先连接到收件人的系统,并诱使收件人登录其银行帐户,同时保持与系统的连接。网络恶意攻击者通过远程监控和管理软件使用其访问权限修改收款人的银行账户摘要。虚假修改的银行账户摘要显示,收款人被错误地退还了超额金额。最后,网络恶意攻击者指示接收者“退还”超出的金额。

1.3 事件分析

这种网络诈骗活动似乎是出于经济动机,并且以个人为目标,但这种访问可能会导致针对收件人组织的其他恶意活动,包括来自其他网络犯罪分子和高级持续威胁参与者的恶意活动。网络运维者应该意识到:

一是尽管此次活动中的网络恶意行为者使用了ScreenConnect和AnyDesk,但网络恶意攻击者可以恶意利用各种合法的远程监控和管理软件。因为网络恶意攻击者可以下载合法的远程监控和管理软件作为独立的、可移植的可执行文件,所以他们可以绕过管理权限要求和软件管理控制策略;

二是远程监控和管理软件的使用通常不会触发反病毒或反恶意软件防御。网络恶意攻击者会利用合法的远程监控和管理和远程桌面软件作为持久化的指令和控制后门,远程监控和管理软件允许网络恶意攻击者避免使用定制的恶意软件;

三是网络恶意攻击者通常将远程监控和管理软件的合法用户作为目标。目标包括托管服务提供商(MSP)和IT帮助台,他们经常使用合法的远程监控和管理软件来提供技术和安全最终用户支持、网络管理、端点监控,并与主机进行远程交互以实现IT支持功能。恶意网络行为者可以利用MSP网络中的信任关系,并访问大量受害者MSP的客户。

02

指南建议

强烈鼓励网络运维者应用本指南的缓解部分中的建议,以防止对合法远程监控和管理软件的恶意使用。

2.1 网络入侵指标

与本指南中所述的活动相关的网络入侵指标(IOC)如下表所示。

表:CISA发现的恶意域名和IP地址

用于检测恶意行为的其他资源:Silent Push发现的大型木马程序,其中包括诺顿(Norton)、极客支持(Geek)、极客小队(Squad)、亚马逊(Amazon)、微软(Microsoft)、迈克菲(McAfee)和贝宝域名(Paypal)。

2.2 缓解措施

1、实施最佳实践来阻止网络钓鱼电子邮件。参见CISA网络钓鱼信息图,网址https://www.cisa.gov/phishing-infographic

2、审核网络上的远程访问工具,以识别当前使用和/或授权的远程监控和管理软件。

3、审查远程监控和管理软件的执行日志,以检测作为可移植可执行文件运行的程序的异常使用。

4、使用安全软件来检测只在内存中加载的远程监控和管理软件实例。

5、实施应用程序控制来管理和控制软件的执行。

6、要求授权的远程监控和管理解决方案只能通过经批准的远程访问解决方案(如虚拟专用网络(VPN)或虚拟桌面接口(VDI ))从网络内部使用。

7、在网络边界阻止公共远程监控和管理端口及协议上的进出站连接。

8、实施用户培训计划和网络钓鱼练习,提高用户对访问可疑网站、点击可疑链接和打开可疑附件的风险的认识。强化用户对网络钓鱼和鱼叉式网络钓鱼电子邮件的适当回应。

2.3 可用资源参考

参见CISA见解《针对管理服务提供商(MSP)和中小型企业的缓解和强化指南》商业获取关于强化MSP和客户基础设施的指导

美国国防工业基础(DIB)部门组织可以考虑注册NSA网络安全协作中心的DIB网络安全服务产品,包括保护性域名系统(PDNS)服务、漏洞扫描和针对合格组织的威胁情报协作。

CISA提供扫描和测试服务,通过采取积极主动的方法来减少攻击媒介,从而帮助组织降低受威胁的风险。

参加CISA的自动指标共享(AIS),接收机器可读网络威胁指标和防御措施的实时交换。AIS免费提供给参与者,CISA与公共和私营部门合作伙伴合作,通过信息共享识别和帮助减轻网络威胁,并应要求提供技术援助,帮助预防、检测和应对网络安全事件。

03

结语

3.1 远程监控和管理软件沦为攻击隐形工具

易被利用,难以发现。远程控制和管理软件具有远程控制、上传下载文件、屏幕监控等功能,在帮助人们实现高效远程办公的同时,也容易被网络诈骗分子利用,对其进行针对性的伪装,试图诱导更多的用户中招。相比于普通木马,这种方式具有极强的隐蔽性,更难于被发现。

配置风险,导致可乘之机。不少此类远程控制和管理软件为了方便客户大规模部署,在受控端加入了隐藏界面、全自动安装、快速配置等“贴心”功能。此类功能若不加验证被随意使用,必定会给恶意使用者带来机会,实现其不可告人的目的,逐渐成为被恶意使用者利用的隐形工具。

威胁行为者可以利用合法的远程控制和管理软件,瞄准国防部和工业基地网络以及国家安全系统,给国家安全带来严重挑战。

3.2 指南发布提升用户防范意识

恶意使用远程监控和管理软件对大多数普通用户来说,可能是抽象的,缺乏相关的概念。指南文件用通俗易懂的案例还原事件的全过程,有利于增强普通用户对此类事件的理解,避免网络安全事故的发生

3.3 新的钓鱼手段需足够重视

近年来,网络犯罪团伙犯罪手法层出不穷。恶意使用远程监控和管理软件远程访问欺诈是一种新的网络钓鱼手段,须引起足够重视。按照指南要求,可有效避免此类欺诈事件发生:

定期对从业人员进行安全培训,了解安全防护措施并应时刻保持警惕;

养成数据备份、关键加密习惯;

及时打补丁并更新系统、软件等;

确立端点安全方案;

向安全专家咨询如何配置VPN;

在订购远程控制和管理软件前,做好软件安全评估。

原文地址:

https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3277084/nsa-cisa-and-ms-isac-release-guidance-for-securing-remote-monitoring-and-manage/

文章内容编译自网络,本文观点不代表本公众号立场。欢迎交流讨论,批评指正。

声明:本文来自认知认知,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。