一、前言

远程办公模式下，企业传统办公的访问边界被打破，员工的访问行为不再局限于内网对内网，而是经常需要外网访问公司内网资源，如文档或crm、oa等办公系统。

在全球疫情爆发之后，远程办公成为主流办公方式之一，迅速得到企业用户的认可和关注。例如“远程办公”的百度搜索指数在2022年大幅增长，远程办公产品也成了互联网巨头们To B的标配。只不过在远程办公加速市场教育的同时，也集中暴露了行业中存在的种种痛点。

比如一些企业的能力与所服务的用户群不匹配。典型的就是用户量20倍增长的Zoom，先是曝出了远程通话的安全漏洞，正在进行中的会议可能会被其他人劫持，而后被曝出数量高达53万个Zoom账号密码被挂到暗网销售，最终暴露了Zoom的安全盲区，并引发了客户集体逃离的一幕。

鉴于日益严峻的远程访问攻击威胁，安全性已经成为远程访问必须要考虑的重要因素。而为了为了应对恶意使用远程访问软件所带来的日益严重的安全风险，美国多家机构联合发布了《远程访问软件安全指南》。

《指南》由美国网络安全和基础设施安全局(CIS A)、 国家安全局(NS A )、联邦调查局(FBI)、多州信息共享与分析中心(M S-IS A C)和以色列国家网络理事 会(IN CD)撰写，概述了常见的攻击和相关的战术、技术和程序(TTP s)。它还包括对IT / OT和 ICS 专业人员和组织使用远程功能的最佳实践以及如何检测和防御恶意行为者滥用该软件的建议。

二、概述：远程访问软件

简单来说，远程访问软件和工具包括用于维护和改进IT、操作技术(OT)和工业控制系统(ICS)服务的广泛功能；它们为组织远程监督网络、计算机和其他设备提供了一种主动和灵活的方法。

远程访问软件(包括远程管理解决方案和远程监控与管理(RMM))使托管服务提供商(msp)、软件即服务(SaaS)提供商、IT帮助台和其他网络管理员能够远程执行多种功能，包括收集网络和设备运行状况数据、自动化维护、PC设置和配置、远程恢复和备份以及补丁管理。

远程访问软件使用户能够远程连接并访问计算机、服务器或网络。

• 远程管理解决方案是向远程设备授予网络和应用程序访问以及管理控制的软件。
• 远程监控和管理是安装在端点上的代理，用于持续监控机器或系统的健康和状态，以及启用管理功能。

合法使用远程访问软件可以提高IT/OT管理的效率——允许msp、IT帮助台和其他提供商远程维护多个网络或设备。它还可以作为许多业务环境的关键组件，使IT、OT和ICS专业人员能够对问题进行故障排除，并在业务连续性计划和灾难恢复策略中发挥重要作用。

然而，远程访问软件的许多有益特性使其成为恶意行为者利用的简单而强大的工具，从而使这些业务容易受到攻击 。

三、恶意使用远程访问软件

远程访问软件为IT/OT团队提供了灵活的方法，来检测异常网络或设备问题，并主动监控系统。网络威胁行为者越来越多地采用这些工具来轻松和广泛地访问受害者系统。虽然远程访问软件被组织用于合法目的，但其使用通常不会被安全工具或流程标记为恶意。恶意行为者利用这一点，利用远程访问软件通过云托管基础设施建立网络连接，同时逃避检测。这种类型的入侵属于离线(LOTL)攻击的范畴，在这种攻击中，固有的恶意文件、代码和脚本不是必需的，网络威胁参与者使用环境中已经存在的工具来维持他们的恶意活动。

特别是RMM软件具有监视或操作设备和系统以及获得更高权限的重要功能，使其成为恶意行为者维护持久性并在受损网络上横向移动的有吸引力的工具。这使得msp或IT帮助台能够同时监控多个设备和网络，然而，这些相同的功能也使网络威胁行为者更容易管理多个入侵。通过这种方式，远程访问软件已成为网络威胁行为者，特别是勒索软件组织的常见高价值工具。中小型企业依靠msp和使用各种类型的远程访问软件来补充自己的IT、OT和ICS基础设施，并扩展网络环境，而无需内部开发这些功能。这使得企业更容易受到服务提供商供应链妥协、利用或恶意使用远程功能的影响。

远程访问软件对威胁行为者特别有吸引力，原因如下：

• 难以被检测。远程访问软件通常用于合法目的，因此它通常会混入环境中，不会触发反病毒(AV)、反恶意软件或端点检测和响应(EDR)防御。
• 开发恶意软件。远程访问软件使网络威胁行为者能够避免使用或开发自定义恶意软件，例如远程访问木马(rat)。
• 可绕过软件管理控制策略。虽然可以要求绕过或排除，但远程访问软件也可以作为自包含
• 的可移植可执行文件下载，使参与者能够绕过管理权限要求和软件管理控制策略。
• 可绕过防火墙规则。除了绕过软件管理控制外，许多远程管理代理还使用端到端加密。这可能允许威胁行为者下载那些原本会被防火墙检测和阻止的文件。
• 可能造成多重网络入侵。远程访问软件使威胁行为者能够一次管理多个入侵。初始访问代理可能会将网络访问权出售，从而实现对同一网络的多次入侵，同时也扩大了这些网络威胁行为者的影响范围和能力。

四、关于TTPs

网络威胁参与者使用远程访问软件进行初始访问、维护持久性、部署额外的软件和工具、横向移动和数据泄露。因此，远程访问软件——尤其是RMM——经常被网络犯罪分子用于勒索软件事件和某些APT活动中。

在利用远程访问软件作为入侵的一部分之前，网络行为者可能会利用易受攻击的软件。这可能包括利用合法服务器，然后利用这些服务器进行恶意攻击。它还可能包括一般的网络利用活动，例如安装或放置用于持久化的远程访问客户端软件。威胁行为者还可能获得合法的、受损的远程访问软件凭证，最终使他们能够对与受损帐户相关的远程端点进行控制。

一旦获得初始访问权限，威胁参与者通常使用PowerShell或类似的命令行工具来静默部署RMM代理，且会同时利用多个RMM机制。有时恶意行为者还将RMM软件、商业渗透测试工具(如Cobalt Strike)或远程访问恶意软件一起使用，以确保入侵访问的持久性。

威胁行为者会使用远程访问软件来执行多种功能，并执行几个通常相关的ttp(例如:凭证转储和升级特权。)详见表1，了解映射到MITRE攻击和ck®for Enterprise框架版本13的常用策略和技术。注:有关将威胁活动映射到MITRE攻击和ck框架的帮助，请参阅CISA的MITRE攻击和ck映射指南和决策工具的最佳实践。

五、检测

网络管理员和防御者首先应该建立正常网络行为的安全基线。换句话说，对于网络防御者来说，彻底熟悉软件的基线行为是至关重要的，这样才能识别异常行为并检测异常和恶意使用。网络防御者应该将检测到的活动与其他可疑行为关联起来，以减少误报。

编写机构建议组织使用EDR工具监控未经授权使用远程访问软件的行为。可能被网络威胁行为者利用的远程访问软件包括以下内容：

六、对所有组织的建议

机构建议组织，特别是利用该软件进行常规业务的msp，实施以下缓解措施，以防御恶意使用远程访问软件。注:这些缓解措施符合CISA和美国国家标准与技术研究院(NIST)制定的跨部门网络安全绩效目标(CPGs)。CPGs提供了CISA和NIST建议所有组织实施的一套最低限度的实践和保护。CISA和NIST将CPGs建立在现有网络安全框架和指南的基础上，以防范最常见和最具影响力的威胁、战术、技术和程序。

标准与技术研究所网络安全框架

• 在可能的情况下，采用零信任解决方案-或最少特权使用配置-可以是基于端点或身份的。
• 实施用户培训计划和网络钓鱼练习，提高用户对访问可疑网站、点击可疑链接和打开可疑附件的风险意识[CPG 2 . i]。
• 与可以协助监控系统的安全运营中心(SOC)团队合作[CPG 1.1 . b]。
• 审计Active Directory中不活跃和过时的帐户或错误配置。
• 根据风险级别启用即时访问和/或双因素身份验证。
• 使用大规模脚本和脚本审批流程的保障措施。例如，如果一个帐户试图在一小时内向10个或更多设备推送命令，则重新触发安全协议，例如多因素身份验证(MFA)，以确保源是合法的。
• 用软件物料清单(SBOM)来维护软件产品中组件的库存。
• 利用外部攻击面管理(EASM)来增强系统和基础设施的可见性。EASM提供了持续的监视，以确定未知资产，提供有关系统的信息，并通过识别不合规的技术、缺失的法律免责声明和过期的版权声明来帮助遵循法规。

基于主机的控制

• 审计远程访问软件及其在网络设备上的配置，以识别当前使用和/或授权的RMM软件[CPG 1 .a]。
• 使用安全软件检测仅在内存中加载的RMM软件实例。
• 检查日志与完整的数据，包括执行二进制，请求类型，IP地址和日期/时间，为远程访问软件的执行检测异常使用程序运行作为可移植的可执行文件[CPG 2 . t]。
• 实施应用程序控制，包括零信任原则和分段，以管理和控制软件的执行，包括允许列出RMM程序和限制软件可以采取的行动[CPG2 . q]。
• 建立补丁的定期频率，优先处理直接访问或从互联网访问的软件和系统，包括远程访问和管理服务器和代理。

基于网络的控制

• 实施网络分段，以尽量减少横向移动，并限制对设备，数据和应用程序的访问[CPG 2 . f]。
• 阻止在网络边界的公共RMM端口和协议上的入站和出站连接，并强制仅合法使用使用这些端口的工具。远程访问软件应该在环境中有本地实例，并避免在HTTPS端口443上操作。
• 要求授权的RMM解决方案只能通过批准的远程访问使用解决方案，如vpn或虚拟桌面接口(vdi) [cpg2 . f]。
• 启用web应用防火墙(WAF)，通过过滤和监控HTTP流量来保护远程访问软件[cpg2 . k]。虽然这种缓解措施很有价值，但编写机构建议IT管理员在将waf部署到生产环境之前进行测试。

六、针对MSP和saas客户的建议

机构建议MSP和SaaS客户：

1. 确保他们对管理员通过合同安排提供的安全服务有透彻的了解，并解决合同范围之外的任何安全要求。

注意:合同应详细说明msp和其他提供商如何以及何时将影响客户环境的事件通知客户。

2. 启用对其系统的有效监控和记录。如果客户选择聘请MSP或SaaS提供商执行监控和记录，他们应确保其合同安排要求其提供商[CPGs 1 .I, 1 .G, 1 .H]：

• 实施全面的安全事件管理，以便对提供商管理的客户系统进行适当的监控和记录。
• 按照合同安排的规定，向客户提供记录活动的可见性，包括供应商的存在、活动和与客户网络的连接。注:客户应确保MSP账户得到适当的监控和审计。

3. 通知MSP在提供商的基础设施和管理网络上发生的确认或可疑的安全事件和事件，并将其发送给SOC进行分析和分类。

4. 保持对日志服务器的直接访问-以及删除或更改日志的能力-超出RMM工具的范围。

七、对MSPS和IT管理员的建议

msp和其他IT管理员提供的服务通常需要可信的网络连接和特权访问(或标准用户之外的特殊访问)来访问和访问客户系统。从大型关键基础设施组织到中小型企业，许多组织都使用msp来管理信息和通信技术(ICT)系统、存储数据或支持敏感流程。许多组织利用msp来扩展和支持网络环境和流程，而无需增加内部人员或在内部开发功能。

针对初始妥协攻击方法的建议缓解措施包括:

1. 提高易受攻击设备的安全性，并根据供应商的最佳实践强化设备。有关更多信息，请参阅联合网络安全信息表选择和强化远程访问VPN解决方案。

2. 在所有客户服务和产品中采用MFA [CPG 2 . h]。注意:msp还应该在所有有权访问客户环境的帐户上实现MFA，并应将这些帐户视为特权帐户。

3. 为常见用途配置“降低权限”的RMM工具，如只读监控。

4. 管理内部架构风险和隔离内部网络[CPG 2 . f]。

5. 虽然零信任是最终目标，但将客户数据集(和服务，在适用的情况下)相互隔离，以及与公司内部网络隔离，可以限制单一攻击向量的影响[CPG 2 . f]。

• 不要跨多个客户重用管理凭据[CPG 2.e, 2.c]。

6. 此外，在与客户谈判合同条款时，供应商应明确说明客户正在购买的服务、客户未购买的服务以及事件响应和恢复的所有突发事件[CPG 1.1 g, 1 . h]。

八、对具有远程访问能力的产品开发人员的建议

作者建议供应商确保他们的产品：

• 包括低权限版本，避免执行/管理权限。例如，开发只读监控功能，其中某些帐户只能查看来自系统的信息，而不能实现对系统的更改。
• 监控从事计算机网络入侵的网络威胁行为者违反其软件和服务条款的行为；特别是，免费试用版经常被网络犯罪威胁行为者滥用。
• 审计和日志无法轻易被删除。

此外，作者机构建议开发者：

• 将威胁建模纳入其开发过程，以识别潜在漏洞。在开发过程中，促进命令行界面(CLI)命令的模糊测试和开放网络接口以检测漏洞。
• 将实践映射到安全软件开发框架(SSDF)，这可以帮助产品与健全和安全的基础保持一致，反过来，有助于减少潜在的漏洞以及未被发现的利用可能产生的影响。
• 使用先进的监控和事件响应能力，这有助于为缺乏专业知识/基础设施或预算的网络安全团队实施OT/ ICS威胁检测和响应，以部署完整的本地OT特定网络威胁监控和管理程序。