A medida que más personas trabajan de forma remota, los departamentos de TI deben administrar dispositivos distribuidos en diferentes ciudades y países que dependen de VPN y herramientas de monitoreo y administración remota (RMM) para la administración del sistema. Sin embargo, como cualquier tecnología nueva, las herramientas RMM también se pueden usar de manera maliciosa. Los actores de amenazas pueden establecer conexiones con el dispositivo de una víctima y ejecutar comandos, exfiltrar datos y pasar desapercibidos. Este artículo cubrirá ejemplos del mundo real de exploits RMM y le mostrará cómo proteger su organización de estos ataques. ¿Qué son las herramientas RMM? El software RMM simplifica la administración de la red, lo que permite a los profesionales de TI resolver problemas de forma remota, instalar software y cargar o descargar archivos hacia o desde los dispositivos. Lamentablemente, esta conexión no siempre es segura y los atacantes pueden usar software malicioso para conectar sus servidores al dispositivo de una víctima. Sin embargo, a medida que estas conexiones se vuelven más fáciles de detectar, los grupos de ransomware como servicio (RaaS) han tenido que ajustar sus métodos. En la mayoría de los incidentes cibernéticos que Varonis investigó el año pasado, las bandas de RaaS emplearon una técnica conocida como Living off the Land, utilizando herramientas de TI legítimas para obtener control remoto, navegar por redes sin ser detectados y robar datos. Las herramientas RMM permiten a los atacantes mezclarse y evadir la detección. Por lo general, los controles de seguridad y las políticas de seguridad organizacionales, como la lista blanca de aplicaciones, «ignoran» a ellos y a su tráfico. Esta táctica también ayuda a los script kiddies: una vez conectados, encontrarán todo lo que necesitan ya instalado y listo para ellos. Nuestra investigación identificó dos métodos principales que utilizan los atacantes para manipular las herramientas RMM: Abuso de herramientas RMM existentes: los atacantes obtienen acceso inicial a la red de una organización utilizando herramientas RMM preexistentes. Explotan credenciales débiles o predeterminadas o vulnerabilidades de la herramienta para obtener acceso sin activar la detección. Instalación de nuevas herramientas RMM: los atacantes instalan sus herramientas RMM preferidas obteniendo primero acceso a la red. Utilizan correos electrónicos de phishing o técnicas de ingeniería social para engañar a las víctimas para que instalen sin saberlo la herramienta RMM en su red. A continuación, se muestran herramientas RMM comunes y bandas RaaS: Herramientas RMM comunes y bandas RaaS Ejemplos del mundo real de exploits RMM Durante una investigación reciente, nuestro equipo de Detección y respuesta de datos administrados (MDDR) analizó los datos de una organización y encontró, en el historial de PowerShell de un dispositivo comprometido, evidencia de una herramienta RMM llamada «KiTTY». Este software era una versión modificada de PuTTY, una herramienta conocida para crear sesiones telnet y SSH con máquinas remotas. Debido a que PuTTY es una herramienta RMM legítima, ninguno de los software de seguridad de la organización levantó ninguna bandera roja, por lo que KiTTY pudo crear túneles inversos sobre el puerto 443 para exponer servidores internos a una caja AWS EC2. El equipo de Varonis realizó un análisis exhaustivo. Descubrieron que las sesiones a la caja AWS EC2 usando KiTTY fueron clave para revelar qué sucedió, cómo se hizo y, lo más importante, qué archivos fueron robados. Esta evidencia crucial fue un punto de inflexión en la investigación y ayudó a rastrear toda la cadena de ataque. También reveló las brechas de seguridad de la organización, cómo abordarlas y las posibles consecuencias de este ataque. Estrategias para defender las herramientas RMM Considere implementar las siguientes estrategias para reducir la posibilidad de que los atacantes abusen de las herramientas RMM. Una política de control de aplicaciones Restrinja a su organización para que no use varias herramientas RMM al aplicar una política de control de aplicaciones: Asegúrese de que las herramientas RMM estén actualizadas, parcheadas y accesibles solo para usuarios autorizados con MFA habilitado Bloquee de manera proactiva las conexiones entrantes y salientes en puertos y protocolos RMM prohibidos en el perímetro de la red Una opción es crear una política de Control de aplicaciones de Windows Defender (WDAC) con PowerShell que incluya aplicaciones en la lista blanca según su editor. Es importante tener en cuenta que la creación de políticas WDAC requiere privilegios administrativos, e implementarlas a través de la Política de grupo requiere privilegios administrativos de dominio. Como precaución, debe probar la política en modo de auditoría antes de implementarla en modo de aplicación para evitar bloquear inadvertidamente las aplicaciones necesarias. Abra PowerShell con privilegios administrativos Cree una nueva política: Puede crear una nueva política con el cmdlet New-CIPolicy. Este cmdlet toma una ruta a un directorio o un archivo, lo escanea y crea una política que permite que todos los archivos en esa ruta, como archivos ejecutables y DLL, se ejecuten en su red. Por ejemplo, si desea permitir todo lo firmado por el editor de una aplicación específica, puede seguir el siguiente ejemplo: New-CIPolicy -FilePath «C:\Path\To\Application.exe» -Level Publisher -UserPEs -Fallback Hash -Enable -OutputFilePath «C:\Path\To\Policy.xml» En este comando, -FilePath especifica la ruta a la aplicación, -Level Publisher significa que la política permitirá todo lo firmado por el mismo editor que la aplicación y -UserPEs significa que la política incluirá ejecutables en modo usuario. -Fallback Hash significa que si el archivo no está firmado, la política lo permitirá en función de su hash, -Enable significa que la política se habilitará y-OutputFilePath especifica la ruta donde se guardará la política. Convertir la política a un formato binario: las políticas WDAC se deben implementar en un formato binario. Puede convertir la política mediante el cmdlet ConvertFrom-CIPolicy: ConvertFrom-CIPolicy -XmlFilePath «C:\Path\To\Policy.xml» -BinaryFilePath «C:\Path\To\Policy.bin» Implementar la política: puede implementar la política mediante la consola de administración de políticas de grupo (GPMC). Para ello, debe copiar el archivo .bin al directorio \\Windows\System32\CodeIntegrity en cada equipo en el que desee implementar la política. A continuación, debe establecer la configuración de política Configuración del equipo → Plantillas administrativas → System Device Guard → Implementar Control de aplicaciones de Windows Defender en Habilitado y establecer la opción Usar Control de aplicaciones de Windows Defender para ayudar a proteger su dispositivo en Aplicar. Monitoreo continuo Monitoree el tráfico y los registros de su red, especialmente en lo que respecta a las herramientas RMM. Considere implementar servicios como Varonis MDDR, que brinda monitoreo de red y análisis de comportamiento las 24 horas, los 7 días de la semana, los 365 días del año. Capacitación y concientización de los usuarios Capacite a sus empleados para identificar intentos de phishing y administrar contraseñas de manera efectiva, ya que manipular a los usuarios es una forma común en que los atacantes obtienen acceso a su red. Fomente la denuncia de actividades sospechosas y pruebe periódicamente a su equipo de ciberseguridad para identificar riesgos potenciales. Reduzca su riesgo sin asumir ninguno. A medida que la tecnología avanza, le da una ventaja tanto a los defensores como a los atacantes, y las herramientas RMM son solo un ejemplo de las amenazas potenciales que enfrentan las organizaciones. En Varonis, nuestra misión es proteger lo que más importa: sus datos. Nuestra plataforma de seguridad de datos todo en uno descubre y clasifica continuamente datos críticos, elimina exposiciones y detiene amenazas en tiempo real con automatización impulsada por IA. ¿Tiene curiosidad por ver qué riesgos pueden prevalecer en su entorno? Obtenga una evaluación de riesgo de datos de Varonis hoy mismo. Nuestra evaluación gratuita demora solo unos minutos en configurarse y brinda valor inmediato. En menos de 24 horas, tendrá una visión clara y basada en riesgos de los datos más importantes y un camino claro hacia la remediación automatizada. Nota: Este artículo apareció originalmente en el blog de Varonis. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.