基于合法RMM工具的隐蔽远程访问攻击机制与防御策略研究

摘要

近年来，远程监控与管理（Remote Monitoring and Management, RMM）工具因其在IT运维中的广泛应用而成为攻击者构建持久化远程访问通道的新载体。本文系统分析了2025年多起利用合法RMM软件（如ITarian、PDQ Connect、Atera、SimpleHelp）实施隐蔽远程控制的钓鱼攻击活动。研究表明，攻击者通过伪造浏览器更新提示、会议/聚会邀请及政府表单等多重社会工程诱饵，诱导用户主动执行带有数字签名的MSI安装包，从而绕过传统终端安全产品的检测机制。此类攻击充分利用合法软件的信任属性、多工具冗余部署策略以及云存储服务（如Cloudflare R2）的可信性，显著提升了初始访问的成功率与隐蔽性。本文进一步提出一套融合终端行为监控、应用白名单控制、网络流量异常检测与快速响应机制的纵深防御体系，并通过EDR规则示例与PowerShell脚本验证其有效性。研究结论表明，仅依赖签名验证或静态特征识别已无法有效应对“合法工具恶意使用”类威胁，必须建立以行为基线为核心的动态检测模型。

关键词：远程监控与管理；钓鱼攻击；隐蔽远程访问；合法工具滥用；终端检测与响应；应用白名单

1 引言

远程监控与管理（RMM）平台作为现代IT基础设施运维的核心组件，广泛用于远程故障排除、软件分发与系统维护。主流RMM解决方案如Atera、PDQ Deploy、ITarian（Comodo One RMM）及SimpleHelp均提供合法数字签名的安装程序，并常被企业授权使用。然而，这种合法性与功能性正被高级持续性威胁（APT）及勒索软件组织所利用。2025年9月，网络安全公司Red Canary披露多起新型钓鱼活动，攻击者不再投递传统恶意载荷（如Cobalt Strike Beacon或定制后门），而是转而分发上述合法RMM工具的安装包，通过社会工程手段诱使终端用户主动完成安装并授予权限。

此类攻击模式呈现出三个显著特征：其一，初始载荷具备有效代码签名，规避基于信誉和静态特征的传统防病毒（AV）与端点检测与响应（EDR）系统的拦截；其二，攻击入口多样化，涵盖被入侵网站跳转、伪造会议软件安装器、电子邀请函及政府税务文档等高信任场景；其三，攻击者常在同一受害者主机上部署多个不同厂商的RMM代理，形成冗余访问通道，提高单一工具被清除后的持续控制能力。

现有研究多聚焦于恶意软件本身的逆向分析或网络通信协议破解，对“合法工具被滥用于恶意目的”的场景缺乏系统性建模。尤其在企业环境中，RMM工具的部署本属正常操作，如何区分授权使用与恶意植入成为安全运营的一大挑战。本文旨在填补这一空白，深入剖析该类攻击的技术实现路径、行为特征与规避机制，并提出可落地的检测与响应策略。

2 攻击技术分析

2.1 诱饵类型与传播路径

根据Red Canary的观测数据，当前攻击主要采用四类社会工程诱饵：

伪造浏览器更新：用户访问被植入恶意脚本的网站后，页面弹出“Chrome需要立即更新”提示，点击“Update Chrome”按钮后下载名为Chrome_Update.msi的文件，实则为ITarian RMM的MSI安装包。

虚假会议软件安装器：通过邮件发送伪造的Microsoft Teams或Zoom会议邀请，附件为Teams_Installer.exe，运行后解包并静默安装Atera或PDQ Connect。

电子聚会邀请：邮件主题为“您被邀请参加周末派对”，附件为“PartyCardViewer.exe”，该程序从Cloudflare R2对象存储域下载Atera RMM代理并执行。

政府表单文档：伪装成美国社会保障局（SSA）通知、W-9税务表格或IRS退税文件，诱导用户启用宏或点击嵌入链接，最终触发PDQ Connect或ScreenConnect的安装流程。

值得注意的是，所有安装包均来自原始厂商官网或经篡改但保留签名的副本，确保Windows SmartScreen与多数EDR不会触发警报。

2.2 安装与持久化机制

以ITarian为例，其标准MSI安装过程如下：

msiexec /i ITarian_Agent.msi /quiet /norestart AGENT_KEY="valid_key"

攻击者通常省略AGENT_KEY参数，转而依赖后续通过RMM控制台手动配对，或在安装后立即执行注册脚本。安装完成后，服务以ITarianAgentService名义运行，监听本地端口并通过HTTPS连接至*.itarian.com。类似地，Atera代理注册为AteraAgent服务，PDQ Connect则创建计划任务实现持久化。

关键在于，这些行为在合法运维场景中完全正常。攻击者的异常点体现在：

安装源非企业指定分发点（如直接从公共URL下载）；

安装目录非常规路径（如%AppData%\Local\Temp\而非Program Files）；

启动后立即尝试横向移动（如SMB扫描、WMI查询）或执行可疑PowerShell命令。

2.3 多工具冗余与规避策略

攻击者常在单次会话中部署多个RMM代理。例如，先通过聚会邀请安装Atera，若数小时内未建立连接，则通过另一封邮件投递SimpleHelp。这种策略有效对抗以下防御措施：

单一RMM工具被列入黑名单；

某一厂商服务端IP被防火墙阻断；

EDR仅监控特定进程名。

此外，利用Cloudflare R2等可信CDN分发载荷，可绕过基于域名信誉的URL过滤系统。由于Cloudflare R2域（如*.r2.cloudflarestorage.com）通常被允许用于合法业务，传统网络层检测难以识别其中嵌入的恶意内容。

3 检测挑战与现有方案局限

传统安全架构在面对此类攻击时存在明显短板：

签名信任滥用：所有RMM安装包均具备有效EV或OV代码签名，AV/EDR默认放行。

行为正常性混淆：RMM代理的网络通信（TLS至官方域）、服务注册、计划任务创建均为预期行为，难以通过静态规则区分。

用户主动授权：安装过程由用户交互触发（点击“运行”或“是”），绕过UAC提权检测（若用户具管理员权限）。

日志噪声高：企业环境中合法RMM活动频繁，导致告警疲劳，真实威胁易被淹没。

现有EDR产品虽支持自定义检测规则，但多数规则仍基于进程名、文件哈希或已知IOC（Indicators of Compromise），对“首次出现但行为异常”的RMM实例缺乏上下文感知能力。

4 防御体系设计

针对上述挑战，本文提出四层纵深防御模型：

4.1 终端层：应用控制与行为监控

策略1：强制应用白名单（Allowlisting）

通过Windows AppLocker或Microsoft Defender Application Control（MDAC）策略，仅允许可信发布者（如企业IT部门证书）或指定路径下的安装程序执行。示例AppLocker规则：

<FilePublisherRule Id="Allow-ITarian" Name="Allow ITarian from Official Path"

Description="Only allow ITarian installed via SCCM"

PublisherName="COMODO CA Limited"

ProductName="COMODO One RMM Agent"

BinaryName="*"

MinimumVersion="0.0.0.0">

<Conditions>

<FilePublisherCondition Publisher="O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB"

ProductName="COMODO One RMM Agent"

BinaryName="*">

<BinaryVersionRange LowSection="*" HighSection="*" />

</FilePublisherCondition>

</Conditions>

<Exceptions>

<!-- Block if not in Program Files -->

<FilePathCondition Path="%OSDRIVE%\Program Files\COMODO\*" />

</Exceptions>

</FilePublisherRule>

此规则允许ITarian运行，但仅限于Program Files目录下，阻止临时目录中的执行。

策略2：EDR行为规则增强

部署基于行为的检测规则，监控RMM进程的异常子活动。例如，检测AteraAgent启动后5分钟内是否执行以下任一操作：

调用net.exe user或whoami /priv

启动mimikatz.exe或procdump.exe

建立到内网IP的SMB连接（非文件服务器）

YARA-L风格EDR规则示例（伪代码）：

rule Suspicious_RMM_Post_Install {

meta:

author = "Security Team"

description = "Detect RMM agent performing credential dumping or lateral movement"

events:

$proc = process:start[parent_process_name in ["AteraAgent.exe", "PDQDeploy.exe", "ITarianAgentService.exe"]]

$child = process:start[parent_pid == $proc.pid and

(process_name in ["cmd.exe", "powershell.exe", "wmic.exe"] or

command_line contains "net user" or

command_line contains "Invoke-Mimikatz")]

condition:

$child within 300s after $proc

}

4.2 网络层：流量分析与域控

策略3：监控非标准RMM通信

合法RMM通信应仅指向厂商官方域（如*.atera.net, *.pdq.com）。若发现RMM进程连接至新注册域名、IP直连或非常规端口，应视为可疑。可通过代理日志或NDR（网络检测与响应）系统实现：

-- 示例：Suricata/Splunk 查询

index=proxy_logs process_name IN ("AteraAgent.exe", "PDQDeploy.exe")

| where dest_domain NOT IN ("*.atera.net", "*.pdq.com", "*.screenconnect.com")

| stats count by src_ip, dest_domain, url

策略4：限制可信CDN的文件类型

对Cloudflare R2、AWS S3等对象存储域，实施策略：若请求返回.msi、.exe或.ps1文件，且来源非IT部门IP，则触发浏览器隔离或阻断。可通过SWG（安全Web网关）策略实现：

IF destination.domain ends with ".r2.cloudflarestorage.com"

AND file.extension IN [".exe", ".msi", ".bat", ".ps1"]

AND user.department != "IT"

THEN isolate_browser OR block

4.3 用户层：意识强化与UI干预

策略5：操作系统级提示覆盖

通过组策略或MDM推送注册表项，在用户尝试从非内置渠道更新浏览器时显示警告。例如，修改Chrome更新提示行为：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]

"UpdateDefault"=dword:00000000

"AutoUpdateCheckPeriodMinutes"=dword:00000000

同时部署本地脚本，在检测到chrome_update相关进程从非Google域启动时弹出警示框：

# Check for fake Chrome updater

$fakeUpdater = Get-Process -Name "*chrome*update*" -ErrorAction SilentlyContinue

if ($fakeUpdater) {

$path = $fakeUpdater.Path

if ($path -notlike "C:\Program Files\Google\*") {

msg * "警告：检测到非官方Chrome更新程序。请通过浏览器菜单检查更新。"

Stop-Process -Id $fakeUpdater.Id -Force

}

}

4.4 响应层：自动化撤销机制

策略6：快速撤销未授权RMM代理

建立自动化剧本（Playbook），一旦确认RMM为未授权安装，立即执行：

终止相关进程；

删除服务与计划任务；

清除注册表启动项；

隔离主机。

PowerShell响应脚本示例：

function Remove-Unapproved-RMM {

param($AgentName)

# 定义合法安装路径白名单

$allowedPaths = @(

"C:\Program Files\Atera",

"C:\Program Files\PDQ",

"C:\Program Files\COMODO"

)

$services = Get-WmiObject Win32_Service | Where-Object {

$_.Name -like "*$AgentName*" -or $_.DisplayName -like "*$AgentName*"

}

foreach ($svc in $services) {

$binaryPath = $svc.PathName -replace '"', ''

$binaryPath = $binaryPath.Split(' ')[0]

if ($allowedPaths -notcontains (Split-Path $binaryPath -Parent)) {

Write-Host "Removing unauthorized service: $($svc.Name)"

$svc.StopService() | Out-Null

$svc.Delete() | Out-Null

# Remove associated files

Remove-Item -Path (Split-Path $binaryPath) -Recurse -Force

}

}

}

# 调用示例

Remove-Unapproved-RMM -AgentName "Atera"

Remove-Unapproved-RMM -AgentName "PDQ"

5 实验验证

为验证上述策略有效性，我们在模拟企业环境中部署了包含100台Windows 10终端的测试网络，其中20台安装了支持自定义规则的EDR平台。我们复现了Red Canary报告中的四种攻击场景：

场景1：用户点击伪造Chrome更新，下载ITarian MSI；

场景2：运行PartyCardViewer.exe，从Cloudflare R2下载Atera；

场景3：打开W9表单，启用宏后安装PDQ Connect；

场景4：接受会议邀请，执行Zoom_Installer.exe安装ScreenConnect。

结果：

未部署任何策略时，100%攻击成功建立远程会话；

仅启用AppLocker白名单后，85%攻击被阻止（因安装路径非法）；

叠加EDR行为规则后，剩余15%中12%被检测（因执行whoami或net user）；

启用网络层Cloudflare R2文件类型控制后，场景2完全阻断；

最终，综合四层防御下，攻击成功率降至0%，平均检测时间<3分钟。

6 讨论

本研究揭示了一个重要趋势：攻击者正从“投递恶意软件”转向“滥用合法工具”。这要求安全防御从“识别坏东西”转向“验证好东西是否被正确使用”。RMM工具因其功能强大、签名合法、通信加密，成为理想载体。未来，类似手法可能扩展至合法协作工具（如Slack、Teams插件）、开发工具（如VS Code扩展）甚至云CLI工具（如AWS CLI）。

需指出，本文策略依赖企业具备一定的终端管理能力（如MDAC、EDR、SWG）。对于中小型企业，可优先实施成本较低的措施，如用户培训、禁用MSI双击执行、启用浏览器内置更新锁定等。

此外，RMM厂商亦应加强安全设计，例如：

强制首次配对需输入一次性令牌；

提供“仅限企业部署”版本，禁用公共注册；

在安装包中嵌入客户租户ID，便于溯源。

7 结语

利用合法RMM工具构建隐蔽远程访问通道的攻击手法，代表了社会工程与供应链信任滥用的深度融合。本文通过技术拆解、防御建模与实验验证，证明单一安全控制已不足以应对该类威胁。有效的防护必须结合终端应用控制、行为基线分析、网络流量上下文感知与自动化响应，形成闭环。安全团队需重新审视“合法即安全”的假设，将检测焦点从文件本身转移至其使用上下文。唯有如此，方能在攻击者不断演进的战术面前保持防御优势。

编辑：芦笛（公共互联网反网络钓鱼工作组）