Zu den häufig missbrauchten RMM-Produkten zählt Huntress ScreenConnect von ConnectWise, AnyDesk, Atera, NetSupport, Connect von PDQ sowie SplashTop. Der starke Anstieg ihres Missbrauchs ging laut dem Report mit einem parallelen Rückgang beim Einsatz klassischer Schadsoftware einher. Die Verschiebung zeige, dass Angreifer herkömmliche Hacking-Werkzeuge fallen lassen und verstärkt auf sogenannte Living-off-the-Land-Taktiken setzen, bei denen sie legitime Software und Kommandozeilen-Werkzeuge nutzen, um der Erkennung zu entgehen.
“Während Cyberkriminelle ganze Vorgehensweisen um diese Tools herum aufbauten, um Schadsoftware abzulegen, Zugangsdaten zu stehlen und Befehle auszuführen, brach die Nutzung klassischer Hacking-Werkzeuge um 53 Prozent ein”, heißt es im Report. Der Einsatz von Fernzugriffstrojanern (RATs) sei um 20 Prozent, der schädlicher Skripte um 11,7 Prozent zurückgegangen. Klassische Malware sei in Fällen mit installierten RMM-Agenten “auffällig selten” gewesen.
Auch die Art der Nutzung hat sich den Forschern zufolge verändert. Statt RMM-Tools nur als Einstiegspunkt zum Ablegen von Schadsoftware zu verwenden, setzen Angreifer sie inzwischen als “einheitliche Steuerzentrale” für Command-and-Control-Zwecke (C2) und zur Redundanz ihrer Angriffspfade ein. Greg Linares, leitender Analyst für Bedrohungsaufklärung bei Huntress, betont, dass Angreifer gezielt versuchten, bereits installierte oder im Zielnetzwerk wahrscheinlich vorhandene RMM-Tools zu nutzen, um das in diese Produkte gesetzte Vertrauen auszunutzen und sich unter die legitime Nutzung zu mischen.
“RMM wird massiv und in großem Umfang missbraucht. Diese Tools eignen sich für Angriffe auf jeder Ebene – Großunternehmen, Kleinbetriebe, mittelständische Firmen, Krankenhäuser, überall”, sagt Linares. Der RMM-Missbrauch habe klassische Hacking-Werkzeuge im vergangenen Jahr “in den Schatten gestellt”.
Die Analyse der Aktivitäten nach einer Kompromittierung zeigte zudem, dass Angreifer je nach Funktionsumfang bestimmte Produkte für bestimmte Aufgaben bevorzugen. So setzten sie ScreenConnect überwiegend zum Abgreifen von Zugangsdaten ein, NetSupport für schnelles Vorbereiten (Staging) und Connect von PDQ für die erste Auslieferung von Schadsoftware. Laut Report liefert die RMM-Telemetrie, korreliert mit dem Vorgehen in den ersten 24 Stunden nach einer Infektion, ein verlässliches Signal dafür, wohin ein Einbruch im Angriffspfad steuert.
Linares zufolge liegt das größte Problem darin, dass Organisationen diese Programme meist mit kaum Einschränkungen laufen lassen – weder dazu, womit sie sich verbinden, noch dazu, wer sie nutzt. Drittanbieter im Sicherheitsbereich sollten Freigabelisten und Beschränkungen erstellen, um nicht autorisierte Tools zu verhindern. Frühwarnzeichen seien verdächtige identitätsbezogene Aktivitäten, Anmeldeversuche von mehreren Standorten zur Prüfung auf Geofencing-Beschränkungen sowie der Einsatz von Wohn-Proxys (residential proxies).
Einen großen Teil der Verantwortung sieht Linares jedoch bei den RMM-Herstellern selbst. “Ich finde, sie sollten zur Rechenschaft gezogen werden, den Missbrauch ihrer eigenen Produkte zu erkennen”, sagt er. Anbieter sollten prüfen, wie ihre Produkte missbraucht werden, und Beschränkungen einführen; zumindest sollten sie möglichst viele Signaldaten bereitstellen, damit Erkennungssysteme und Sicherheitsteams nachvollziehen können, wer die Tools wie nutzt. Einige Unternehmen griffen diese Empfehlung bereits auf und führten neue Sicherheitsmaßnahmen ein – “aber sie haben noch einen weiten Weg vor sich”.
