قوة ومخاطر أدوات RMM

نظرًا لأن المزيد من الأشخاص يعملون عن بُعد، يجب على أقسام تكنولوجيا المعلومات إدارة الأجهزة الموزعة على مدن وبلدان مختلفة بالاعتماد على شبكات VPN وأدوات المراقبة والإدارة عن بُعد (RMM) لإدارة النظام.

ومع ذلك، مثل أي تقنية جديدة، يمكن أيضًا استخدام أدوات RMM بشكل ضار. يمكن للجهات التهديدية إنشاء اتصالات بجهاز الضحية وتشغيل الأوامر وسحب البيانات والبقاء دون أن يتم اكتشافها.

ستغطي هذه المقالة أمثلة واقعية لثغرات RMM وستوضح لك كيفية حماية مؤسستك من هذه الهجمات.

ما هي أدوات RMM؟

يعمل برنامج RMM على تبسيط إدارة الشبكة، مما يسمح لمحترفي تكنولوجيا المعلومات بحل المشكلات عن بعد، وتثبيت البرامج، وتحميل الملفات أو تنزيلها من وإلى الأجهزة.

لسوء الحظ، هذا الاتصال ليس آمنًا دائمًا، ويمكن للمهاجمين استخدام برامج ضارة لتوصيل خوادمهم بجهاز الضحية. ومع ذلك، نظرًا لأن اكتشاف هذه الارتباطات أصبح أسهل، برامج الفدية كخدمة (RaaS) كان على المجموعات تعديل أساليبها.

في معظم الحوادث السيبرانية التي حقق فيها فارونيس العام الماضي، استخدمت عصابات RaaS تقنية تُعرف باسم العيش خارج الأرضباستخدام أدوات تكنولوجيا المعلومات المشروعة للتحكم عن بعد والتنقل عبر الشبكات دون أن يتم اكتشافها وسرقة البيانات.

تتيح أدوات RMM للمهاجمين الاندماج والتهرب من الكشف. عادةً ما يتم “تجاهلهم” وحركة المرور الخاصة بهم من خلال ضوابط الأمان وسياسات الأمان التنظيمية، مثل القائمة البيضاء للتطبيقات.

يساعد هذا التكتيك أيضًا أطفال البرامج النصية – بمجرد الاتصال، سيجدون كل ما يحتاجون إليه مثبتًا بالفعل وجاهزًا لهم.

حدد بحثنا طريقتين رئيسيتين يستخدمهما المهاجمون للتلاعب بأدوات RMM:

1. إساءة استخدام أدوات RMM الموجودة: يحصل المهاجمون على وصول أولي إلى شبكة المؤسسة باستخدام أدوات RMM الموجودة مسبقًا. إنهم يستغلون بيانات الاعتماد الضعيفة أو الافتراضية أو نقاط الضعف في الأدوات للوصول دون إثارة الكشف.
2. تثبيت أدوات RMM الجديدة: يقوم المهاجمون بتثبيت أدوات RMM المفضلة لديهم من خلال الوصول أولاً إلى الشبكة. يستخدمون رسائل البريد الإلكتروني التصيدية أو تقنيات الهندسة الاجتماعية لخداع الضحايا لتثبيت أداة RMM على شبكتهم عن غير قصد.

فيما يلي أدوات RMM الشائعة وعصابات RaaS:

أدوات RMM الشائعة وعصابات RaaS

أمثلة واقعية لثغرات RMM

خلال التحقيق الأخير لدينا الكشف عن البيانات المُدارة والاستجابة لها (MDDR) قام فريق العمل بتحليل بيانات المؤسسة ووجدوا، في سجل PowerShell للجهاز المخترق، دليلاً على وجود أداة RMM تسمى “KiTTY”.

كان هذا البرنامج نسخة معدلة من PuTTY، وهي أداة معروفة لإنشاء جلسات telnet وSSH مع الأجهزة البعيدة. نظرًا لأن PuTTY هي أداة RMM شرعية، لم يقم أي من برامج الأمان الخاصة بالمؤسسة برفع أي إشارات حمراء، لذلك تمكنت KiTTY من إنشاء أنفاق عكسية عبر المنفذ 443 لكشف الخوادم الداخلية لمربع AWS EC2.

أجرى فريق فارونيس تحليلا شاملا. ووجدوا أن جلسات صندوق AWS EC2 باستخدام KiTTY كانت أساسية للكشف عما حدث، وكيف تم ذلك، والأهم من ذلك، ما هي الملفات المسروقة.

كان هذا الدليل الحاسم بمثابة نقطة تحول في التحقيق وساعد في تتبع سلسلة الهجوم بأكملها. كما كشفت عن الثغرات الأمنية التي يعاني منها التنظيم وكيفية معالجتها والتداعيات المحتملة لهذا الهجوم.

استراتيجيات الدفاع عن أدوات RMM

فكر في تنفيذ الاستراتيجيات التالية لتقليل فرصة قيام المهاجمين بإساءة استخدام أدوات RMM.

سياسة التحكم في التطبيق

قم بتقييد مؤسستك من استخدام أدوات RMM المتعددة عن طريق فرض سياسة التحكم في التطبيق:

• تأكد من تحديث أدوات RMM وتصحيحها وعدم إمكانية الوصول إليها إلا للمستخدمين المصرح لهم مع تمكين MFA
• قم بحظر الاتصالات الواردة والصادرة بشكل استباقي على منافذ وبروتوكولات RMM المحظورة في محيط الشبكة

أحد الخيارات هو إنشاء ملف التحكم في تطبيق Windows Defender (WDAC) السياسة التي تستخدم PowerShell التي تقوم بإدراج التطبيقات في القائمة البيضاء بناءً على ناشرها. من المهم ملاحظة أن إنشاء سياسات WDAC يتطلب امتيازات إدارية، كما أن نشرها عبر Group Policy يتطلب امتيازات إدارية للمجال.

وكإجراء وقائي، يجب عليك اختبار السياسة في وضع التدقيق قبل نشرها في وضع الفرض لتجنب حظر التطبيقات الضرورية عن غير قصد.

1. افتح PowerShell بامتيازات إدارية
2. إنشاء سياسة جديدة: يمكنك إنشاء سياسة جديدة باستخدام سياسة CI الجديدة cmdlet. يأخذ أمر cmdlet هذا مسارًا إلى دليل أو ملف، ويقوم بفحصه، ويضع سياسة تسمح لجميع الملفات الموجودة في هذا المسار، مثل الملفات التنفيذية وملفات DLL، بالعمل على شبكتك.

   على سبيل المثال، إذا كنت تريد السماح بكل ما وقعه ناشر تطبيق معين، يمكنك اتباع المثال أدناه:
   New-CIPolicy -FilePath “C:\Path\To\Application.exe” -Level Publisher -UserPEs -Fallback Hash -Enable -OutputFilePath “C:\Path\To\Policy.xml”

   في هذا الأمر، -مسار الملف يحدد المسار إلى التطبيق، -الناشر المستوى يعني أن السياسة ستسمح بكل ما يوقعه نفس الناشر مثل التطبيق، و -UserPEs يعني أن السياسة ستتضمن الملفات التنفيذية لوضع المستخدم.

   -التجزئة الاحتياطية يعني أنه إذا لم يتم توقيع الملف، فإن السياسة ستسمح به بناءً على تجزئته،-يُمكَِن يعني أنه سيتم تمكين هذه السياسة، و – مسار ملف الإخراج يحدد المسار الذي سيتم حفظ السياسة فيه.

3. تحويل السياسة إلى تنسيق ثنائي: يجب نشر سياسات WDAC بتنسيق ثنائي. يمكنك تحويل السياسة باستخدام ConvertFrom-CIpolicy أمر cmdlet: تحويل من-CIPolicy -XmlFilePath “C:\Path\To\Policy.xml” -BinaryFilePath “C:\Path\To\Policy.bin”
4. نشر السياسة: يمكنك نشر السياسة باستخدام وحدة تحكم إدارة سياسة المجموعة (GPMC). للقيام بذلك، يجب عليك نسخ ملف .bin إلى الدليل \\Windows\System32\CodeIntegrity على كل كمبيوتر تريد نشر النهج فيه. بعد ذلك، تحتاج إلى تعيين تكوين الكمبيوتر ← قوالب الإدارة ← حارس جهاز النظام ← نشر التحكم في تطبيق Windows Defender إعداد السياسة على ممكّن وضبط استخدم التحكم في تطبيق Windows Defender للمساعدة في حماية خيار فرض جهازك.

المراقبة المستمرة

مراقبة حركة مرور الشبكة وسجلاتها، خاصة فيما يتعلق بأدوات RMM. النظر في تنفيذ خدمات مثل فارونيس MDDR، والذي يوفر مراقبة الشبكة وتحليل السلوك على مدار 24 ساعة طوال أيام الأسبوع.

تدريب المستخدم والتوعية

قم بتدريب موظفيك على التعرف على محاولات التصيد الاحتيالي وإدارة كلمات المرور بشكل فعال، حيث يعد التلاعب بالمستخدمين طريقة شائعة للوصول إلى شبكتك. شجّع على الإبلاغ عن الأنشطة المشبوهة واختبر فريق الأمن السيبراني لديك بانتظام لتحديد المخاطر المحتملة.

تقليل المخاطر الخاصة بك دون اتخاذ أي.

مع تقدم التكنولوجيا، فإنها تمنح ميزة لكل من المدافعين والمهاجمين، وأدوات RMM هي مجرد مثال واحد على التهديدات المحتملة التي تواجهها المؤسسات.

في Varonis، مهمتنا هي حماية ما هو أكثر أهمية: بياناتك. لدينا الكل في واحد منصة أمن البيانات يكتشف البيانات المهمة ويصنفها بشكل مستمر، ويزيل حالات التعرض للتهديدات، ويوقف التهديدات في الوقت الفعلي باستخدام الأتمتة التي تعمل بالذكاء الاصطناعي.

هل ترغب في معرفة المخاطر التي قد تكون سائدة في بيئتك؟ احصل على فارونيس تقييم مخاطر البيانات اليوم.

يستغرق تقييمنا المجاني دقائق معدودة فقط لإعداده وتقديم قيمة فورية. في أقل من 24 ساعة، سيكون لديك عرض واضح قائم على المخاطر للبيانات الأكثر أهمية ومسار واضح للمعالجة الآلية.

لاحظ هذا شرط ظهر في الأصل على مدونة فارونيس.