Alex Feleol

O paradoxo das RMMs: Quando ferramentas legítimas de acesso remoto se tornam uma ameaça

Descubra como atores de ameaça estão utilizando softwares como AnyDesk, TeamViewer e outros para invadir redes, e aprenda como blindar sua infraestrutura.

No mundo atual de trabalho híbrido e infraestruturas distribuídas, as ferramentas de Monitoramento e Gerenciamento Remoto (RMM – Remote Monitoring and Management) são a onipresença para equipes de TI. Elas permitem que administradores resolvam problemas, instalem patches e mantenham sistemas funcionando do outro lado do mundo sem sair da cadeira.

No entanto, há um lado sombrio nessa conveniência. As mesmas características que tornam as ferramentas RMM indispensáveis para o time de TI — acesso privilegiado, capacidade de executar scripts, transferência de arquivos e controle remoto total — as tornam o “Santo Graal” para cibercriminosos.

Neste artigo, vamos explorar como ferramentas legítimas estão sendo convertidas em vetores de ataque, analisar as soluções mais visadas e, crucialmente, discutir como você pode defender sua organização ao mitigar esse tipo de ameaça.

O Conceito de “Living off the Land” (LotL)

Por que um atacante gastaria tempo e dinheiro desenvolvendo um malware complexo e arriscado, que pode ser detectado por um antivírus na primeira tentativa, se ele pode simplesmente usar uma ferramenta que você já confia?

Este é o princípio dos ataques “Living off the Land” (LotL). Atores de ameaça utilizam softwares legítimos, binários do sistema operacional e ferramentas administrativas já presentes no ambiente para realizar suas atividades maliciosas.

Quando se trata de RMMs, o cenário é crítico. Muitas dessas ferramentas são assinadas digitalmente por fornecedores confiáveis, estão na lista segura (safelist) de firewalls corporativos e suas atividades raramente levantam suspeitas imediatas nas ferramentas de monitoramento padrão. Para um atacante, instalar um AnyDesk ou utilizar credenciais roubadas de um Dameware é a forma mais silenciosa de garantir persistência e realizar movimentação lateral em uma rede.

As Ferramentas no Radar dos Atacantes

Embora qualquer software de acesso remoto possa ser abusado, alguns são favoritos frequentes em incidentes de segurança, desde golpes de falso suporte técnico até ataques de ransomware em larga escala.

Abaixo, listamos algumas das ferramentas frequentemente observadas em atividades maliciosas:

1. TeamViewer e AnyDesk

Os gigantes do suporte remoto ad-hoc. Devido à sua onipresença e facilidade de uso (muitas vezes não exigindo instalação ou privilégios de administrador para rodar em modo usuário), são os preferidos para acesso inicial. Atacantes frequentemente enganam usuários para instalá-los (engenharia social) ou os instalam silenciosamente após comprometer uma máquina para garantir um backdoor fácil.

2. AmmyAdmin e Supremo

Ferramentas menores, leves e muitas vezes portáteis (executáveis únicos sem necessidade de instalação complexa). São populares entre cibercriminosos porque são fáceis de esconder no sistema e podem passar despercebidas por administradores que monitoram apenas os “grandes nomes” do mercado de acesso remoto.

3. Syncro e Dameware

Estas são ferramentas de RMM mais robustas, voltadas para MSPs (Managed Service Providers) e grandes departamentos de TI corporativo. Quando um atacante compromete uma instância dessas ferramentas (por exemplo, roubando credenciais de um administrador de MSP), o impacto é catastrófico. Eles ganham não apenas acesso a uma máquina, mas controle administrativo sobre todo o parque de máquinas gerenciado por aquela instância, permitindo a distribuição em massa de ransomware.

4. SoftEther VPN

Embora não seja estritamente uma ferramenta RMM no sentido tradicional, o SoftEther é um software de VPN multiprotocolo extremamente poderoso e flexível. Atores de ameaça adoram utilizá-lo para criar túneis criptografados e furtivos para fora da rede da vítima, contornando firewalls e estabelecendo uma comunicação C2 (Comando e Controle) muito difícil de detectar.

O Arsenal do Defensor: Mitigação e Detecção

Defender-se contra o abuso de ferramentas legítimas é desafiador, pois você não pode simplesmente “bloquear tudo” sem paralisar o suporte de TI. A chave é o gerenciamento rigoroso e a visibilidade através de alertas em tempo real e geração de relatórios para análise retroativa.

Estratégias de Mitigação:

  1. Inventário e Safelisting de Aplicações: Saiba exatamente quais ferramentas de acesso remoto são homologadas pela sua empresa. Utilize soluções de controle de aplicação (como AppLocker ou Carbon Black) para bloquear a execução de qualquer outro RMM não autorizado (ex: bloquear o hash ou o certificado digital do AmmyAdmin se sua empresa só usa TeamViewer).
  2. Segmentação de Rede: As estações de trabalho comuns não deveriam ter permissão para iniciar conexões de saída nas portas padrão utilizadas por essas ferramentas (ex: portas TCP 80, 443, 5938 para TeamViewer) em direção à internet, a menos que seja estritamente necessário.
  3. Monitoramento de Logs (SIEM): Configure alertas para comportamentos anômalos.
  4. MFA Obrigatório: Para RMMs corporativos (como Syncro ou Dameware), a autenticação multifator (MFA) no console de gerenciamento é inegociável.
  5. Acesso somente interno: Utilize a VPN para adentrar a rede interna para somente assim acessar as estações de trabalho. Não permita que as estações possam ser acessadas diretamente da Internet sem antes passar por mais uma camada de segurança.
  6. Pentests constantes: Efetue testes de acesso remoto de várias ferramentas de acesso remoto e verifique como está a eficácia da sua segurança e em quanto tempo você seria alertado. Não se prenda somente às ferramentas tradicionais, verifique quais são as mais atuais ou utilizadas pelos atacantes e replique esse cenário internamente.
  7. O lado social: Implemente camadas de conscientização junto ao usuário para que ele não caia em golpes de engenharia social e também saiba o que fazer se receber esse tipo de ataque, sendo vítima ou não.

O Recurso Essencial: LOLRMM.io

Diante desse cenário complexo, a comunidade de segurança cibernética desenvolveu um recurso inestimável para defensores.

Recomendação Principal: https://lolrmm.io/

O projeto LOLRMM (Living Off The Land Remote IT Management Tools) é uma plataforma dedicada a documentar como ferramentas legítimas de gerenciamento remoto são usadas por atores de ameaça.

Por que você deve usar o LOLRMM.io?

  • Mapeamento de Ferramentas: Ele lista dezenas de ferramentas RMM (incluindo as mencionadas neste artigo) e detalha suas capacidades técnicas.
  • IOCs e Regras de Detecção: O site fornece Indicadores de Comprometimento (IOCs) prontos para uso, regras Sigma para detecção em SIEMs, e sugestões de políticas de bloqueio (como hashes de arquivos e domínios de conexão).
  • Contexto de Ataque: Ele explica como a ferramenta é abusada, ajudando os analistas de SOC a entender o que procurar durante uma investigação.

Se você precisa configurar seu EDR ou firewall para bloquear versões não autorizadas do AnyDesk ou detectar o uso furtivo do SoftEther, o LOLRMM.io deve ser sua primeira parada para obter a inteligência técnica necessária.

Outras Soluções e Plataformas de Auxílio

Além do LOLRMM, integre estas fontes à sua estratégia de defesa:

  • Repositório de Regras Sigma (GitHub): O padrão Sigma oferece milhares de regras de detecção genéricas que podem ser convertidas para o formato do seu SIEM. Procure por regras específicas para “remote access tools” ou nomes de softwares específicos.
  • MISP (Malware Information Sharing Platform): Se sua organização tiver acesso a uma instância MISP, utilize-a para compartilhar e receber IOCs relacionados a campanhas recentes que abusam de RMMs.
  • Documentação Oficial dos Fornecedores: Empresas como a TeamViewer e AnyDesk publicam guias de “hardening” (fortalecimento) para uso corporativo. Siga essas diretrizes para garantir que suas implementações legítimas estejam seguras.

Conclusão

As ferramentas RMM não são o inimigo, elas são facilitadoras essenciais dos negócios modernos.

O inimigo é a falta de controle sobre elas.

Adotar uma postura de “confiança zero” em relação ao software de acesso remoto, onde apenas o estritamente necessário é permitido e tudo é monitorado, é a única maneira de evitar que suas próprias ferramentas sejam usadas contra você.

Mantenha seu inventário atualizado, atualize IOCs, IOAs e regras regularmente e esteja sempre vigilante aos sinais de que o suporte remoto na sua rede pode não ser quem diz ser.

Lembre-se: Basta uma janela aberta para que o atacante adentre o seu ambiente.

Deixe um comentário