RMM (remote monitoring and management) — класс инс­тру­мен­тов для уда­лен­ного монито­рин­га и управле­ния. Изна­чаль­но они не задума­ны как хакер­ский инс­тру­мент, но в руках зло­умыш­ленни­ка могут в него прев­ратить­ся. В этой статье раз­берем кон­крет­ные про­дук­ты и при­меры ори­енти­рован­ной на них мал­вари.

Пред­ставь софт, с которым мож­но тихо или с уве­дом­лени­ем заг­лянуть на любой компь­ютер в сети: уста­новить обновле­ние, почис­тить диск, запус­тить скрипт или прос­то про­верить, все ли с устрой­ством в поряд­ке. Короче, RMM — легитим­ная супер­спо­соб­ность адми­нов.

Зло­умыш­ленни­ки дав­но научи­лись исполь­зовать RMM во вред и пос­тоян­но про­качи­вают эти тех­ники. Я работаю в отде­ле экспер­тизы анти­вирус­ной лабора­тории Positive Technologies ESC и регуляр­но стал­кива­юсь с экс­плу­ата­цией уяз­вимос­тей RMM.

Глав­ное пре­иму­щес­тво RMM перед инс­тру­мен­тами, которые изна­чаль­но соз­давали для вре­донос­ных целей, — обход сис­тем обна­руже­ния вре­донос­ного ПО. Анти­виру­сы и EDR-решения доверя­ют таким прог­раммам, потому что они обыч­но нуж­ны в легитим­ных сце­нари­ях. Зло­умыш­ленни­ки исполь­зуют это доверие как лазей­ку и прев­раща­ют инс­тру­мент адми­нис­три­рова­ния в средс­тво для про­ник­новения в инфраструк­туру и зак­репле­ния в ней.

В 2025 году зло­умыш­ленни­ки час­то при­меня­ли такие инс­тру­мен­ты в цепоч­ках атак. Клас­сичес­кий сце­нарий с RMM — связ­ка вре­донос­ного лоаде­ра или даун­лоаде­ра с инс­тру­мен­том уда­лен­ного управле­ния.

Я соб­рал из раз­ных источни­ков дан­ные о при­мене­нии RMM, вклю­чая пуб­ликации рос­сий­ских и зарубеж­ных вен­доров.

Распределение упоминаний RMM-инструментов в описаниях вредоносной активности (2025)
Рас­пре­деле­ние упо­мина­ний RMM-инс­тру­мен­тов в опи­сани­ях вре­донос­ной активнос­ти (2025)

По ста­тис­тике лидиру­ет ScreenConnect RMM, но Atera, Tactical RMM и зна­мени­тый AnyDesk тоже очень популяр­ны.

Даль­ше перей­дем к прак­тике: раз­берем кон­крет­ные инс­тру­мен­ты RMM и пос­мотрим, как зло­умыш­ленни­ки исполь­зуют тех­нику T1219 (Remote Access Tools) из MITRE ATT&CK.

 

ScreenConnect

  • Ком­пания‑раз­работ­чик и стра­на: Elsinore Technologies, США.
  • Self-hosted-раз­верты­вание: да. Это одно из клю­чевых отли­чий плат­формы. Есть модели лицен­зирова­ния On-Premise: Perpetual и Legacy.
  • Тип RMM: узкоспе­циали­зиро­ван­ный инс­тру­мент для уда­лен­ного управле­ния и под­дер­жки (remote desktop software).
  • Воз­можнос­ти: уда­лен­ное управле­ние и под­дер­жка, сов­мес­тная работа через чат, запись сеан­сов, переда­ча фай­лов, перезаг­рузка и перепод­клю­чение, под­дер­жка нес­коль­ких монито­ров, Wake-on-LAN, кас­томиза­ция (white label), интегра­ции через API и пла­гины.
  • Ли­цен­зия: проп­риетар­ная, ком­мерчес­кая. Дос­тупны разовая покуп­ка (perpetual license) с отдель­ной опла­той под­дер­жки и обновле­ний, а так­же под­писка.

Пос­мотрим на лидера нашей ста­тис­тики — ScreenConnect, рань­ше извес­тный как ConnectWise Control и ConnectWise ScreenConnect. В Elsinore Technologies раз­работа­ли это решение в 2008 году для уда­лен­ного дос­тупа к рабоче­му сто­лу и тех­поддер­жки. Его изна­чаль­но соз­давали как про­дукт для раз­верты­вания в сво­ей инфраструк­туре, и он до сих пор сла­вит­ся гиб­кими вари­анта­ми уста­нов­ки.

Веб-интерфейс ScreenConnect
Веб‑интерфейс ScreenConnect

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии