Software di Accesso Remoto: Remote Desktop Software (T1219.002)

La simulazione dell'abuso di software RMM richiede comprensione delle modalità di deployment silenzioso. Su Windows, l'installazione di TeamViewer in modalità unattended può essere eseguita con msiexec /i TeamViewer_Host.msi /qn CUSTOMCONFIGID=xxxxx.

Per AnyDesk, il deployment silenzioso avviene tramite AnyDesk.exe --install C:\ProgramData\AnyDesk --start-with-win --silent. La configurazione per accesso non presidiato richiede l'impostazione di una password tramite echo password | anydesk.exe --set-password.

Su Linux, l'installazione di strumenti VNC può essere mascherata attraverso apt-get install -y x11vnc && x11vnc -storepasswd password ~/.vnc/passwd. L'avvio del servizio in background si ottiene con nohup x11vnc -forever -usepw -display :0 &.

Le tecniche di persistenza variano per piattaforma. Windows utilizza chiavi di registro in HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, mentre Linux sfrutta systemd con file .service personalizzati. macOS richiede la creazione di LaunchAgents in ~/Library/LaunchAgents/.

Il tunneling del traffico RMM attraverso proxy SOCKS aumenta l'evasione. Con SSH: ssh -D 8080 user@jumphost, seguito dalla configurazione del client RMM per utilizzare localhost:8080 come proxy.

La rotazione tra diversi software RMM simula il comportamento di Scattered Spider, alternando TeamViewer, AnyDesk e ConnectWise durante la stessa campagna. Questo pattern complica significativamente la detection basata su singoli IOC.

Il rilevamento efficace richiede correlazione tra eventi di processo e connessioni di rete. La detection DET0259 suggerisce il monitoraggio di Sysmon EventID 1 per processi come teamviewer.exe, anydesk.exe, screenconnect.client.exe correlati con EventID 3 per connessioni outbound.

Pattern comportamentali critici includono l'esecuzione di RMM software da directory non standard (%TEMP%, %APPDATA%) o con parent process inusuali. PowerShell che lancia TeamViewer rappresenta un'anomalia significativa rispetto all'avvio tramite desktop shortcut.

Su Linux, auditd cattura syscall execve per binari VNC (auditctl -w /usr/bin/x11vnc -p x). La correlazione con flussi di rete su porte 5900-5910 identifica sessioni VNC attive.

La gestione dei falsi positivi richiede baseline del software RMM autorizzato. Whitelist basate su hash SHA256 e percorsi di installazione standard riducono il rumore. TeamViewer legittimo risiede tipicamente in C:\Program Files\TeamViewer, mentre versioni portable in altre location generano alert.

Indicatori veloci includono connessioni a domini noti dei vendor (*.teamviewer.com, *.anydesk.com) da processi non firmati digitalmente. La presenza simultanea di multiple soluzioni RMM sullo stesso endpoint suggerisce attività malevola, pattern osservato in Storm-1811.

Il tuning delle regole deve considerare porte non standard. Mentre TeamViewer usa tipicamente 5938, configurazioni custom possono utilizzare porte alte randomiche, richiedendo detection basata su comportamento piuttosto che su porte fisse.

Gli artefatti di software RMM persistono in multiple location. Su Windows, le chiavi di registro HKLM\SOFTWARE\TeamViewer e HKCU\SOFTWARE\AnyDesk contengono timestamp di installazione e configurazione. I log di connessione risiedono in %APPDATA%\TeamViewer\Connections_incoming.txt.

La ricostruzione temporale beneficia dell'analisi di Prefetch files. TeamViewer-XX.pf indica esecuzioni con timestamp precisi, permettendo di correlare con altri eventi di sistema. USN Journal registra creazioni e modifiche di file RMM con precisione al microsecondo.

Durante C0015, gli attaccanti installarono AnyDesk cinque giorni dopo l'accesso iniziale. L'analisi forense rivelò che il file AnyDesk.exe fu scaricato tramite PowerShell, seguito dall'esecuzione con parametri --install entro 3 minuti.

Su macOS, Unified Logs catturano eventi di installazione e attivazione. Le query log show --predicate 'process == "TeamViewer"' --info rivelano dettagli di sessione inclusi ID remoti e durate connessione.

Artefatti di rete includono cache DNS per domini RMM e certificati SSL memorizzati. L'analisi di memory dump può recuperare password di sessione in chiaro per alcune versioni di VNC, fornendo prove di accesso non autorizzato.

La correlazione con Windows Event Log 4688 (Process Creation) e 4689 (Process Termination) permette di identificare finestre temporali precise di attività RMM, essenziali per determinare azioni dell'attaccante durante sessioni remote.

Kimsuky (G0094) dimostra sofisticazione nell'uso di TeamViewer modificato, rimuovendo banner e modificando user agent per evasione. Il gruppo targets primariamente think tank sudcoreani e accademici con interesse in affari nordcoreani.

Scattered Spider (G1015) rappresenta l'evoluzione del social engineering combinato con RMM abuse. Il gruppo convince vittime a installare software remoto durante false chiamate di supporto IT, pattern documentato nella campagna C0027 contro telco e BPO.

Storm-0501 (G1053) utilizza arsenale diversificato includendo AnyDesk, NinjaOne e Level.io, suggerendo capacità di adattamento basata su software presente nell'ambiente target. La rotazione tra tool differenti complica attribution e blocking.

Mustang Panda (G0129) integra TeamViewer in campagne di spionaggio persistente contro entità governative asiatiche. L'installazione avviene tipicamente dopo initial foothold via spearphishing, utilizzando TeamViewer per mantenere accesso anche dopo rimozione del malware primario.

Pattern geografici emergono nell'uso di specifici RMM. Gruppi est-europei come RTM (G0048) preferiscono Remote Utilities, mentre attori asiatici gravitano verso TeamViewer. Questa preferenza riflette disponibilità locale e familiarità operativa.

L'overlap di tool tra gruppi suggerisce condivisione di TTP o accesso a playbook comuni. La convergenza su AnyDesk tra Storm-1811, Contagious Interview e attori ransomware indica efficacia comprovata e bassa detection rate.

Framework MITRE ATT&CK documenta Remote Desktop Software come T1219.002 sotto Command and Control. Campagne C0015, C0018 e C0027 forniscono case study dettagliati. Detection guidance DET0259 offre regole implementabili per SOC operations.