Исследование кибербезопасности Dark Atlas выявило тревожную тенденцию: продвинутые группы угроз все чаще используют легитимные платформы удаленного управления и мониторинга (RMM) для начального доступа к корпоративным сетям. Особую популярность среди злоумышленников завоевал ScreenConnect от ConnectWise - инструмент, изначально созданный для административных задач.
Почему RMM-платформы стали мишенью
Платформы удаленного управления предоставляют злоумышленникам именно те возможности, которые они ищут: удаленный доступ, бесшумный контроль, передачу файлов и выполнение скриптов. Изначально разработанные для ИТ-администрирования, эти инструменты обладают административными привилегиями, которые attackers перепрофилируют для получения первоначального доступа, обеспечения устойчивости в системе, удаленного контроля и горизонтального перемещения по сети.
Возможность создавать пользовательские установщики, пригласительные ссылки и публичные URL-адреса делает RMM-решения высокоценными целями для киберпреступников. Это объясняет, почему анализ злоупотребления такими платформами стал критически важным направлением в цифровой криминалистике и поиске угроз.
Смена приоритетов: от AnyDesk к ScreenConnect
Хотя ранее популярностью у злоумышленников пользовался AnyDesk, многие группы угроз стали отказываться от него из-за возросшей обнаруживаемости. Этот сдвиг привел к росту интереса к ScreenConnect, который стал модным инструментом в арсенале противников.
ScreenConnect - это кроссплатформенное решение для удаленного доступа, поддерживающее Windows, macOS, Linux, iOS, Android и другие операционные системы. Среди ключевых функций: VPN-функциональность, интеграция через REST API, передача файлов, логирование сессий, удаленная печать и бесшумный доступ.
Тактика злоупотребления ScreenConnect
Основной вектор атаки начинается с фишинговых кампаней, где злоумышленники используют пригласительные ссылки и пользовательские установщики, имитирующие легитимные рабочие процессы. На панели управления ScreenConnect есть опция Build+, позволяющая создавать кастомизированные "сборщики", которые могут либо напрямую устанавливать агент, либо генерировать многоэтапные пригласительные ссылки.
Установочный артефакт ScreenConnect.ClientSetup.msi обычно выполняется преимущественно в памяти, что уменьшает следы на диске и снижает эффективность базовых проверок антивирусными решениями. Этот метод предпочитают атакующие, поскольку он уменьшает видимость действий по установке и обеспечению устойчивости для традиционных инструментов мониторинга.
После развертывания установщик ScreenConnect размещает клиентский бинарный файл Windows, обычно наблюдаемый как WindowsClient executable, который запускается и регистрируется как работающая служба или процесс для обеспечения удаленного соединения. Стандартный путь: C:\Program Files (x86)\ScreenConnect Client (идентификатор)\ScreenConnect.WindowsClient.exe.
Ключевые артефакты для обнаружения
Для специалистов по безопасности критически важно отслеживать конфигурационные файлы ScreenConnect. Файл user.config, расположенный по пути C:\Windows\SysWOW64\config\systemprofile\AppData\Local\ScreenConnect Client (идентификатор)\user.config, представляет собой XML-конфигурацию, которая сопоставляет hostnames с IP-адресами и фиксирует временные метки этих сопоставлений.
Файл system.config хранит параметры соединения, включая hostnames/IP-адреса, порты и зашифрованные ключи запуска, определяющие способ подключения клиента ScreenConnect к серверу.
При первоначальном подключении ScreenConnect генерируется событие безопасности с идентификатором 4573, а после установления удаленной сессии записываются события приложения с идентификаторами 100 и 101. Однако этих свидетельств недостаточно для полного расследования - требуется углубленный анализ дополнительных источников данных и системных артефактов.
Особенности работы с данными
В отличие от AnyDesk, который хранит журналы чатов в конфигурационных файлах, ScreenConnect сохраняет их в памяти, что делает сбор данных памяти необходимым для получения этих артефактов. Это существенно усложняет процесс расследования для специалистов по цифровой криминалистике.
При передаче файлов через веб-интерфейс ConnectWise создается новая папка по пути C:\Users\Пользователь\Documents\ConnectWiseControl\Files, содержащая переданный файл. Это действие фиксируется событием 201. Однако при приеме файлов с компьютера жертвы идентификаторы событий не собираются, хотя происходит изменение файла user.config.
Выводы для специалистов по безопасности
Как и многие легитимные RMM-платформы, ScreenConnect обладает значительными возможностями, что делает его привлекательным для злоумышленников. Исследование демонстрирует, что атакующие используют пользовательские URL-адреса, пригласительные ссылки и сборщики, установщики с малым следом на диске, устойчивые Windows-клиенты и конфигурации, а также артефакты, существующие только в памяти, такие как журналы чатов.
Для эффективного противодействия этим угрозам организациям необходимо внедрять комплексный мониторинг активности RMM-инструментов, уделяя особое внимание нестандартным путям установки, подозрительным сетевым соединениям и аномальным паттернам использования легитимных административных средств. Понимание тактик злоупотребления ScreenConnect становится обязательным элементом современной программы кибербезопасности.
