寻找远程管理工具

在当今的数字环境中，远程管理和监控 (RMM) 工具对于寻求简化 IT 运营、提高生产力和确保无缝远程支持的组织来说已变得不可或缺。然而，在我们的威胁搜寻和事件响应活动中，我们经常看到这些工具虽然很有用，但如果管理不当，也会带来重大的安全风险。这篇博文旨在分享我们从大量针对 RMM 工具的威胁搜寻以及各种事件响应活动中获得的见解，在这些活动中，我们观察到威胁行为者安装这些 RMM 工具以延长对环境的访问时间，并就组织如何减轻相关风险提供建议。

RMM 工具的流行

根据我们对不同行业客户进行的威胁搜寻工作，我们发现组织内通常会存在各种各样的 RMM 软件。我们观察到大约 30 种不同的 RMM 工具，其中最常见的是 TeamViewer、VNC、mRemoteNG 和 AnyDesk。

远程管理工具 - 使用最广泛的工具

需要强调的是，几乎每个组织都观察到了多种 RMM 工具，这使得确保合规性和安全性最佳实践变得更加困难。通常，一种 RMM 工具会大规模安装，并且通常用于合法用途。但是，寻找异常值并进行验证非常重要 — 如果只有少数系统使用另一种或多种 RMM，则可能是恶意活动的迹象。

如前所述，威胁行为者还利用这些合法工具来获得未经授权的访问或保持持久性。过去，攻击者大大增加了对这些工具的使用。在我们的事件响应活动中，我们发现，例如 AnyDesk、VNC 或 ScreenConnect 等工具被用于恶意目的。

总体而言，我们看到