Sự gia tăng gần đây của các tác nhân đe dọa sử dụng công cụ quản lý và giám sát từ xa (RMM) để truy cập ban đầu đã làm tăng cường sự giám sát đối với các nền tảng từng được dành riêng cho quản trị IT hợp pháp. Trong bối cảnh này, việc khai thác ScreenConnect đã trở thành một mối đe dọa mạng đáng chú ý. Trong khi AnyDesk đã giảm mức độ phổ biến đối với các đối tượng độc hại do khả năng phát hiện được cải thiện, ConnectWise ScreenConnect đã nổi lên như một lựa chọn ưu tiên cho việc xâm nhập lén lút, duy trì quyền truy cập và di chuyển ngang.

Nghiên cứu này đi sâu vào cách các tác nhân độc hại khai thác ScreenConnect, tận dụng các tính năng, tạo tác trình cài đặt và kênh liên lạc của nó để âm thầm xâm phạm các endpoint. Để hiểu sâu hơn về cơ chế tấn công này, bạn có thể tham khảo phân tích chi tiết tại Darkatlas.

Tận Dụng Công Cụ RMM Cho Mục Đích Độc Hại

Các giải pháp RMM cung cấp khả năng kiểm soát không giám sát, năng lực viết script, truyền tệp và ghi nhật ký phiên. Đây là những tính năng hấp dẫn đối với cả quản trị viên hệ thống lẫn tội phạm mạng.

Phương Thức Xâm Nhập Ban Đầu

Các kẻ tấn công tạo ra các chiêu trò lừa đảo (phishing lures) hướng nạn nhân đến các trình cài đặt ScreenConnect tùy chỉnh hoặc liên kết mời được tạo thông qua bảng điều khiển quản lý.

Bằng cách lưu trữ một trang lừa đảo mạo danh cổng hỗ trợ đáng tin cậy, các tác nhân đe dọa sẽ thả một trình cài đặt .msi thực thi chủ yếu trong bộ nhớ, để lại rất ít dấu vết trên đĩa.

Ví dụ, một câu lệnh PowerShell một dòng đơn giản có thể cài đặt tác nhân ScreenConnect mà không ghi toàn bộ payload vào đĩa.

Cơ Chế Hoạt Động Của ScreenConnect Trong Tấn Công

Một khi được thực thi, tác nhân sẽ tự đăng ký dưới dạng một dịch vụ Windows, cung cấp cho kẻ tấn công quyền truy cập từ xa liên tục dưới vỏ bọc bảo trì IT hợp pháp.

Triển Khai Persistent Access

Khả năng của ScreenConnect trải dài trên Windows, macOS, Linux, iOS và Android, cho phép kiểm soát đa nền tảng. Sau khi trình cài đặt .msi ban đầu (thường được đặt tên là ScreenConnect.ClientSetup.msiCopy) được khởi chạy từ thư mục tạm thời, tác nhân sẽ thả một binary client.

Dấu Vết Trên Hệ Thống và Thách Thức Điều Tra

Đường dẫn cài đặt điển hình cho binary client là:

C:Program Files (x86)ScreenConnect Client (<hash>)ScreenConnect.WindowsClient.exe

Tệp thực thi này tải các cài đặt cấu hình từ các tệp XMLuser.config và system.config trong thư mục AppData của hồ sơ hệ thống, ánh xạ các URL truy cập tùy chỉnh tới các IP và các khóa khởi chạy được mã hóa.

Vì nhật ký trò chuyện và dữ liệu phiên nằm trong bộ nhớ, chỉ việc thu thập bộ nhớ mới tiết lộ đầy đủ phạm vi tương tác của kẻ tấn công. Điều này khác với AnyDesk, vốn duy trì nhật ký trên đĩa.

Kỹ Thuật Tạo Installer và Liên Kết Mời Gọi

Kẻ tấn công sử dụng tùy chọn Build+ của bảng điều khiển để tạo trình cài đặt tùy chỉnh hoặc liên kết mời, hướng dẫn nạn nhân qua các giai đoạn triển khai.

Một URL mời chung có thể được nhúng trong email lừa đảo hoặc SMS. Ví dụ về một liên kết mời như sau:

https://kh4lifa.test.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest

Bằng cách tạo các liên kết builder và mời trực tiếp từ bảng điều khiển, kẻ tấn công có được một bề mặt lừa đảo linh hoạt để khai thác ScreenConnect hiệu quả.

Dấu Hiệu Nhận Biết và Giám Sát Sau Khi Triển Khai (Post-Deployment IOCs)

Trong giai đoạn sau triển khai, một số sự kiện có thể chỉ ra hoạt động độc hại.

Nhật Ký Sự Kiện Hệ Thống

• Event ID 4573: Báo hiệu một phiên truy cập từ xa mới.
• Application Log events 100 và 101: Ghi lại thời gian bắt đầu và kết thúc phiên.

Hoạt Động Chuyển Tệp

Việc chuyển tệp tạo ra một thư mục dưới thư mục Documents của nạn nhân, ví dụ:

C:Users<username>DocumentsScreenConnect<hash>

Event 201 đánh dấu các hoạt động chuyển tệp đi (outbound transfers). Tuy nhiên, không có sự kiện tương ứng nào được tạo cho các hoạt động chuyển tệp đến (inbound transfers), điều này làm phức tạp thêm việc phân tích pháp y.

Chiến Lược Phòng Ngừa và Phát Hiện Xâm Nhập

Để bảo vệ hệ thống khỏi việc khai thác ScreenConnect, các tổ chức cần triển khai một chiến lược phòng thủ đa lớp, tập trung vào an ninh mạng toàn diện.

Giảm Thiểu Rủi Ro Truy Cập

Các tổ chức có thể giảm thiểu rủi ro bằng cách giới hạn quyền truy cập vào bảng điều khiển RMM, thực thi xác thực đa yếu tố (MFA), xoay vòng khóa API và hạn chế tạo builder tùy chỉnh cho nhân sự đã được kiểm duyệt.

Giám Sát Endpoint và Phân Tích Pháp Y

Các nhà phòng thủ nên coi binary của tác nhân ScreenConnect và các tệp cấu hình XML của nó là các tạo tác chính để phát hiện. Giám sát các lượt thực thi .msi bất ngờ trong các thư mục Temp và các dịch vụ có tên ScreenConnect.WindowsClient.exe có thể báo hiệu các cài đặt trái phép.

Thu thập các ảnh chụp bộ nhớ (memory snapshots) là rất quan trọng để phục hồi nhật ký trò chuyện trong bộ nhớ và các khóa tạm thời. Các nhóm ứng phó sự cố cũng phải xác thực các phân giải DNS và địa chỉ IP được tìm thấy trong user.config, vì các miền độc hại thường lưu trữ cơ sở hạ tầng chỉ huy và kiểm soát (C2).

Bảo Vệ Mạng và Tích Hợp SIEM

Cổng email và proxy web nên chặn các mẫu liên kết mời đã biết và quét các tệp tải xuống để tìm các gói .msi khác biệt so với các trình cài đặt doanh nghiệp được phê duyệt.

Tích hợp các quy tắc phát hiện xâm nhập cho các Event ID 4573, 100 và 101 vào các nền tảng SIEM sẽ cho phép cảnh báo theo thời gian thực về các phiên từ xa đáng ngờ.

Khi các tác nhân đe dọa tiếp tục vũ khí hóa các công cụ IT hợp pháp, việc khai thác ScreenConnect nhấn mạnh sự cần thiết của một chiến lược phòng thủ đa lớp kết hợp giám sát endpoint, phát hiện bất thường mạng và săn lùng mối đe dọa chủ động tập trung vào các nền tảng RMM.

Bằng cách hiểu các kỹ thuật của kẻ tấn công và các chỉ số xâm phạm chính (IOC), các nhóm bảo mật có thể phát hiện xâm nhập và ngăn chặn truy cập trái phép trước khi nó leo thang thành một vụ vi phạm toàn diện.