RMM 도구의 힘과 위험

점점 더 많은 사람들이 원격으로 작업함에 따라 IT 부서는 시스템 관리를 위해 VPN과 원격 모니터링 및 관리(RMM) 도구에 의존하여 여러 도시와 국가에 분산된 장치를 관리해야 합니다.

Contents

RMM 도구란 무엇인가요? RMM 악용의 실제 사례 RMM 도구를 방어하기 위한 전략 애플리케이션 제어 정책 지속적인 모니터링 사용자 교육 및 인식 아무런 조치도 취하지 않고 위험을 줄이세요.

그러나 모든 새로운 기술과 마찬가지로 RMM 도구도 악의적으로 사용될 수 있습니다. 위협 행위자는 피해자의 기기에 연결을 설정하고 명령을 실행하고 데이터를 빼내고 감지되지 않을 수 있습니다.

이 문서에서는 RMM 익스플로잇의 실제 사례를 다루고 이러한 공격으로부터 조직을 보호하는 방법을 보여줍니다.

RMM 도구란 무엇인가요?

RMM 소프트웨어는 네트워크 관리를 간소화하여 IT 전문가가 원격으로 문제를 해결하고, 소프트웨어를 설치하고, 장치에서 파일을 업로드하거나 다운로드할 수 있도록 해줍니다.

불행히도, 이 연결은 항상 안전한 것은 아니며, 공격자는 악성 소프트웨어를 사용하여 서버를 피해자의 기기에 연결할 수 있습니다. 그러나 이러한 연결을 감지하기가 더 쉬워지면서 랜섬웨어 서비스(RaaS) 그룹은 방법을 조정해야 했습니다.

바로니스가 작년에 조사한 대부분의 사이버 사고에서 RaaS 갱단은 토지에서 자급자족이라는 기술을 사용하여 합법적인 IT 도구를 사용하여 원격 제어권을 얻고, 감지되지 않고 네트워크를 탐색하고, 데이터를 훔쳤습니다.

RMM 도구를 사용하면 공격자가 섞여서 탐지를 피할 수 있습니다. 공격자와 트래픽은 일반적으로 보안 제어 및 조직 보안 정책(예: 애플리케이션 허용 목록)에 의해 “무시”됩니다.

이 전략은 스크립트 키디에게도 도움이 됩니다. 한 번 연결되면 필요한 모든 것이 이미 설치되어 준비되어 있기 때문입니다.

저희의 조사에서는 공격자가 RMM 도구를 조작하는 데 사용하는 두 가지 주요 방법을 확인했습니다.

기존 RMM 도구 남용: 공격자는 기존 RMM 도구를 사용하여 조직의 네트워크에 대한 초기 액세스 권한을 얻습니다. 그들은 약하거나 기본 자격 증명 또는 도구 취약성을 악용하여 탐지를 트리거하지 않고 액세스 권한을 얻습니다.
새로운 RMM 도구 설치: 공격자는 먼저 네트워크에 액세스하여 선호하는 RMM 도구를 설치합니다. 그들은 피싱 이메일이나 소셜 엔지니어링 기술을 사용하여 피해자를 속여 무의식적으로 네트워크에 RMM 도구를 설치하게 합니다.

읽다 전문가들이 도박과 인신매매의 배후에 있는 중국 사이버범죄 네트워크를 밝혀내다

일반적인 RMM 도구와 RaaS 갱은 다음과 같습니다.

일반적인 RMM 도구 및 RaaS 갱

RMM 악용의 실제 사례

최근 조사 중에 당사의 관리형 데이터 탐지 및 대응(MDDR) 팀은 한 조직의 데이터를 분석한 결과, 침해된 장치의 PowerShell 기록에서 “KiTTY”라는 이름의 RMM 도구의 증거를 발견했습니다.

이 소프트웨어는 원격 머신과 텔넷 및 SSH 세션을 만드는 잘 알려진 도구인 PuTTY의 수정된 버전이었습니다. PuTTY는 합법적인 RMM 도구이기 때문에 조직의 보안 소프트웨어 중 어느 것도 위험 신호를 표시하지 않았기 때문에 KiTTY는 포트 443을 통해 역방향 터널을 만들어 내부 서버를 AWS EC2 상자에 노출할 수 있었습니다.

Varonis 팀은 포괄적인 분석을 수행했습니다. 그들은 KiTTY를 사용한 AWS EC2 박스에 대한 세션이 무슨 일이 일어났는지, 어떻게 이루어졌는지, 그리고 가장 중요한 것은 어떤 파일이 도난당했는지를 밝히는 데 중요하다는 것을 발견했습니다.

이 중요한 증거는 조사의 전환점이었고 전체 공격 체인을 추적하는 데 도움이 되었습니다. 또한 조직의 보안 격차, 이를 해결하는 방법, 이 공격의 잠재적 결과를 보여주었습니다.

RMM 도구를 방어하기 위한 전략

공격자가 RMM 도구를 악용할 가능성을 줄이려면 다음 전략을 구현하는 것을 고려하세요.

애플리케이션 제어 정책

애플리케이션 제어 정책을 적용하여 조직에서 여러 RMM 도구를 사용하지 못하도록 제한하세요.

MFA가 활성화된 승인된 사용자만 RMM 도구를 업데이트하고 패치하고 액세스할 수 있도록 합니다.
네트워크 경계에서 금지된 RMM 포트 및 프로토콜에 대한 인바운드 및 아웃바운드 연결을 사전에 차단합니다.

한 가지 옵션은 PowerShell을 사용하여 게시자를 기준으로 애플리케이션을 허용 목록에 추가하는 Windows Defender Application Control(WDAC) 정책을 만드는 것입니다. WDAC 정책을 만들려면 관리자 권한이 필요하고, 그룹 정책을 통해 배포하려면 도메인 관리자 권한이 필요하다는 점에 유의하는 것이 중요합니다.

예방 조치로, 필요한 애플리케이션을 실수로 차단하는 것을 방지하기 위해 시행 모드에 정책을 배포하기 전에 감사 모드에서 정책을 테스트해야 합니다.

관리자 권한으로 PowerShell을 엽니다.
새 정책을 만듭니다. 다음을 사용하여 새 정책을 만들 수 있습니다. 새로운 CIPolicy cmdlet. 이 cmdlet은 디렉토리나 파일에 대한 경로를 가져와서 스캔하고 실행 파일과 DLL 파일 등 해당 경로에 있는 모든 파일이 네트워크에서 실행되도록 허용하는 정책을 만듭니다.
예를 들어, 특정 애플리케이션의 게시자가 서명한 모든 것을 허용하려면 아래 예를 따르면 됩니다.
New-CIPolicy -FilePath “C:PathToApplication.exe” -Level Publisher -UserPEs -Fallback Hash -Enable -OutputFilePath “C:PathToPolicy.xml”

이 명령에서는 -파일 경로 애플리케이션 경로를 지정합니다. -레벨 게시자 즉, 정책은 애플리케이션과 동일한 게시자가 서명한 모든 항목을 허용한다는 의미입니다. -UserPEs 이는 정책에 사용자 모드 실행 파일이 포함된다는 것을 의미합니다.

-폴백 해시 즉, 파일이 서명되지 않은 경우 정책은 해시를 기준으로 해당 파일을 허용합니다.-할 수 있게 하다 정책이 활성화된다는 것을 의미합니다. -출력파일경로 정책이 저장될 경로를 지정합니다.
정책을 이진 형식으로 변환합니다. WDAC 정책은 바이너리 형식으로 배포해야 합니다. 다음을 사용하여 정책을 변환할 수 있습니다. ConvertFrom-CIPolicy cmdlet: ConvertFrom-CIPolicy -XmlFilePath “C:PathToPolicy.xml” -BinaryFilePath “C:PathToPolicy.bin”
정책 배포: 그룹 정책 관리 콘솔(GPMC)을 사용하여 정책을 배포할 수 있습니다. 이렇게 하려면 정책을 배포하려는 각 컴퓨터의 \WindowsSystem32CodeIntegrity 디렉터리에 .bin 파일을 복사해야 합니다. 그런 다음 다음을 설정해야 합니다. 컴퓨터 구성 → 관리 템플릿 → 시스템 장치 보호 → Windows Defender 응용 프로그램 제어 배포 정책 설정을 사용으로 설정하고 Windows Defender 응용 프로그램 제어 사용 기기를 보호하려면 Enforce 옵션을 선택하세요.