Software Desktop Remoto come Canale C2: Remote Desktop Software (T1219.002)

Un red team che voglia simulare questa tecnica non ha bisogno di exploit sofisticati. L'intero punto è dimostrare al cliente che un software "autorizzato" può diventare un canale C2 invisibile. La procedura si articola in tre fasi: deployment silenzioso, connessione remota e lateral movement tramite il tool stesso.

Fase 1 — Deployment silenzioso di AnyDesk. AnyDesk (freemium) supporta un'installazione in modalità silenziosa. Su Windows, dal contesto di un accesso già ottenuto (es. via Cobalt Strike o una reverse shell), si può eseguire:

AnyDesk.exe --install "C:\ProgramData\AnyDesk" --start-with-win --silent

Questo installa il client in una directory non standard, lo configura per avviarsi con il sistema e non mostra finestre all'utente. Per impostare una password di accesso unattended, il comando successivo è:

echo | "C:\ProgramData\AnyDesk\AnyDesk.exe" --set-password

A questo punto l'operatore recupera l'ID di AnyDesk dalla configurazione locale leggendo il file system.conf nella directory di installazione, dove il campo ad.anynet.id contiene l'identificativo numerico necessario alla connessione.

Fase 2 — Su Linux con VNC. Per ambienti Linux, un attaccante potrebbe deployare un server VNC leggero. TightVNC (open source) o x11vnc (open source) sono candidati realistici:

x11vnc -display :0 -forever -nopw -rfbport 5900 -bg

Questo avvia un server VNC collegato al display corrente, in background, senza autenticazione. In un esercizio red team, il passaggio successivo è tunnelizzare il traffico VNC dentro SSH o un canale già esistente per evitare detection sulla porta 5900.

Fase 3 — Simulazione su macOS. Su macOS, Chrome Remote Desktop rappresenta un vettore realistico perché si installa come estensione del browser senza richiedere privilegi amministrativi. L'operatore configura il servizio attraverso l'interfaccia web di Google, rendendo la macchina raggiungibile remotamente senza alcun binario sospetto sul filesystem.

Per dimostrare l'impatto in un report, il red team dovrebbe documentare che il traffico generato da AnyDesk o TeamViewer attraversa il perimetro senza generare alert, usando strumenti come Wireshark (open source) per catturare il traffico e mostrare che le connessioni verso i relay server dei vendor RMM passano su HTTPS/TLS standard.

Un tool utile per il deconfliction è Velociraptor (open source), che permette di verificare in tempo reale quali software RMM sono installati sugli endpoint del cliente prima di introdurre il proprio, evitando confusione tra artefatti offensivi e software legittimo preesistente.

Il problema centrale per un SOC è che questi tool sono legittimi. TeamViewer potrebbe essere usato dal supporto IT, AnyDesk dal vendor che gestisce i server. La detection non può basarsi su una semplice blocklist di binari: serve un approccio comportamentale che distingua l'uso autorizzato dall'abuso.

Log source critici. Su Windows, Sysmon (open source) è il pilastro. L'evento EventCode 1 (Process Create) cattura l'esecuzione dei binari RMM, mentre EventCode 3 (Network Connection) correla il processo con le connessioni in uscita. Il Windows Firewall log — attraverso il canale Microsoft-Windows-Windows Firewall With Advanced Security/Firewall — registra le regole create dinamicamente da questi installer, che spesso aggiungono eccezioni durante l'installazione. Su Linux, auditd con regole sulle syscall execve permette di tracciare l'avvio di demoni VNC o agent RMM, mentre i flussi di rete (NSM flow data) correlano l'esecuzione al traffico in uscita. Su macOS, lo Unified Log cattura l'avvio dei processi e le eccezioni sandbox — i tool RMM che bypassano il sandboxing generano entry nei log TCC particolarmente utili.

Strategia di detection a due livelli. Il primo livello è un inventario: mantenere una whitelist aggiornata di binari RMM autorizzati, con hash noti, e generare alert per qualsiasi esecuzione di binari RMM non in lista. Il secondo livello è temporale: correlare l'installazione di un software RMM (EventCode 11 — File Create in Sysmon) con la prima connessione in uscita (EventCode 3). Una finestra di correlazione breve — sotto i 5 minuti tra install e beacon — è fortemente indicativa di un deployment automatizzato malevolo, mentre un'installazione manuale da parte dell'IT segue pattern più diluiti.

Gestione dei falsi positivi. Le note di tuning della detection DET0259 indicano diversi punti critici: i binari RMM possono variare (ConnectWise, Zoho Assist, NinjaOne), le porte di destinazione sono spesso configurabili o su high port non standard (7070, 5650), e il processo padre cambia in base al contesto. La raccomandazione è costruire una baseline per ambiente: quali tool RMM sono legittimi, quali utenti li usano, in quali fasce orarie, e verso quali destinazioni. Tutto ciò che devia dalla baseline merita investigazione.

Per il filtraggio di rete, i proxy e i firewall applicativi dovrebbero limitare il traffico in uscita verso i domini dei vendor RMM ai soli endpoint autorizzati, bloccando la risoluzione DNS per gli altri. Questo approccio riduce la superficie senza impedire l'uso legittimo.

L'analisi forense di un incidente che coinvolge software RMM ha un vantaggio: questi tool lasciano artefatti abbondanti, perché sono progettati per essere software completi con logging, configurazione persistente e tracce di installazione.

Artefatti Windows. Il punto di partenza è il filesystem. AnyDesk conserva i propri log nella directory %ProgramData%\AnyDesk (o %AppData%\AnyDesk per installazioni utente). Il file ad_svc.trace registra ogni sessione con timestamp, ID remoto e durata — una miniera per la timeline. TeamViewer mantiene un comportamento analogo con i file TeamViewer__Logfile.log* nella directory di installazione, dove ogni connessione remota è tracciata con IP sorgente e ID partner.

Il registro Windows offre ulteriori punti di ancoraggio. La chiave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall contiene le entry di installazione con data e percorso. Per installazioni silenziose che evitano il registro standard, il forensic analyst può cercare nel file Amcache.hve (percorso C:\Windows\AppCompat\Programs\Amcache.hve), che registra la prima esecuzione di ogni binario con hash SHA1 e timestamp. Lo Shimcache (AppCompatCache) nel registro SYSTEM fornisce un'ulteriore conferma temporale dell'esecuzione.

I Prefetch di Windows (C:\Windows\Prefetch) sono particolarmente utili: file come ANYDESK.EXE-XXXXXXXX.pf indicano le ultime otto esecuzioni con timestamp, permettendo di stabilire se il tool è stato usato una volta (deployment iniziale) o ripetutamente (canale C2 persistente).

Artefatti Linux. Su sistemi Linux, i log di auditd con le syscall execve mostrano l'avvio dei demoni VNC. I file di configurazione di x11vnc o TightVNC nella home directory dell'utente (.vnc/) contengono password e log di sessione. Il journal di systemd registra eventuali unit file creati per la persistenza del servizio RMM.

Correlazione con le campagne. Nelle intrusioni documentate come C0018 (AvosLocker, febbraio-marzo 2022) e C0015 (Conti, agosto 2021), AnyDesk è stato usato specificamente per trasferire tool tra sistemi compromessi e per mantenere accesso parallelo al beacon C2 primario. Il forensic analyst che trova AnyDesk su una macchina coinvolta in un ransomware dovrebbe immediatamente verificare i log di trasferimento file del tool, che possono rivelare quali payload sono stati movimentati lateralmente.

Per la ricostruzione della timeline, strumenti come Chainsaw (open source) permettono di parsare rapidamente i log Sysmon ed EVTX alla ricerca di pattern specifici legati ai binari RMM, mentre Plaso/log2timeline (open source) può aggregare le diverse fonti — Prefetch, Amcache, log applicativi — in un'unica timeline ordinata cronologicamente.

L'adozione di software RMM come canale C2 attraversa un ventaglio sorprendentemente ampio di threat actor, dai gruppi ransomware-as-a-service fino alle unità di spionaggio statale. Questo pattern merita un'analisi per cluster.

Cluster ransomware e accesso iniziale. Storm-0501 utilizza AnyDesk, NinjaOne e Level.io — una triplice ridondanza che rivela una strategia deliberata: se il difensore blocca un tool, gli altri garantiscono persistenza. Storm-1811 segue la stessa logica con ScreenConnect, NetSupport Manager e AnyDesk. Scattered Spider porta l'approccio all'estremo: non solo deploya TeamViewer, AnyDesk, LogMeIn, ngrok e ConnectWise, ma convince le vittime stesse a installare software RMM attraverso social engineering, come documentato nella campagna C0027 (giugno-dicembre 2022) contro aziende di telecomunicazioni e BPO. Questo cluster condivide un modus operandi in cui l'RMM tool non è il vettore iniziale ma il meccanismo di persistenza post-compromissione.

Cluster spionaggio. Kimsuky ha modificato il client TeamViewer per utilizzarlo come canale C2 custom, un approccio più sofisticato rispetto al semplice deployment del software legittimo. Mustang Panda installa TeamViewer tal quale sui sistemi target, suggerendo un livello di operational security inferiore o un'infrastruttura meno sviluppata. Evilnum ha creato TerraTV, un malware wrapper che esegue un'istanza legittima di TeamViewer — una tecnica ibrida che combina la fiducia del software legittimo con il controllo di un impianto custom. Thrip ha preferito LogMeIn, sfruttando il fatto che il traffico verso servizi cloud-based è particolarmente difficile da distinguere dal traffico aziendale legittimo.

Pattern operativi trasversali. Un dato emerge con chiarezza: TeamViewer e AnyDesk dominano, citati rispettivamente da 5 e 5 gruppi (con sovrapposizioni). Questo ha implicazioni per la threat intelligence: il semplice rilevamento di AnyDesk non è attributivo — serve correlare con altri TTP per restringere il campo. Tuttavia, la combinazione specifica di tool RMM può essere più indicativa: tre tool diversi puntano verso Storm-0501 o Storm-1811, mentre TeamViewer modificato suggerisce Kimsuky o RTM.

RTM merita una nota separata: ha usato sia una versione modificata di TeamViewer sia Remote Utilities, orientandosi verso tool che supportano deployment non interattivo, coerente con il profilo di un gruppo focalizzato su operazioni finanziarie che richiede accesso persistente e discreto.

Contagious Interview rappresenta un caso atipico: il download di AnyDesk avviene come attività post-compromissione in contesti di social engineering legati a finti colloqui di lavoro, un vettore iniziale insolito che rende la detection ancora più complessa perché la vittima stessa autorizza l'installazione.

Framework MITRE ATT&CK v16 — T1219.002 Remote Desktop Software, TA0011 Command and Control. Campagne: C0018 (AvosLocker), C0027 (Scattered Spider), C0015 (Conti playbook). Detection: DET0259, AN0714, AN0715, AN0716. Mitigazioni: M1042, M1037, M1038. Integrato con conoscenza professionale per tool e procedure operative.