t1219-002-remote-desktop-software

# T1219.002 - Software de Acesso Remoto à Área de Trabalho ## Técnica Pai Esta é uma sub-técnica de [[t1219-remote-access-tools|T1219 - T1219 - Remote Access Tools]]. ## Descrição Esta técnica descreve o abuso de ferramentas legítimas de acesso remoto à área de trabalho - como AnyDesk, TeamViewer, ScreenConnect (ConnectWise), AmmyyAdmin, VNC e outros RMM (*Remote Monitoring and Management*) - para estabelecer canais de comando e controle interativos em sistemas comprometidos. A característica mais perigosa dessa abordagem é que ela não exige malware customizado: o adversário instala ou explora software comercial legítimo, cujo tráfego é frequentemente permitido por políticas corporativas e firewalls. O mecanismo é direto: após obter execução de código no alvo - via phishing, engenharia social ou exploração de vulnerabilidade - o atacante instala silenciosamente uma ferramenta de desktop remoto, sejá por download direto ou embutida em um pacote malicioso. Algumas ferramentas permitem instalação sem interface gráfica e inicialização como serviço do sistema. Uma vez ativo, o adversário acessa a máquina interativamente através dos servidores de relay do fornecedor, sem precisar de infraestrutura C2 própria. Isso torna o tráfego práticamente indistinguível de uso legítimo de suporte técnico. Uma dimensão adicional é o abuso de funcionalidades nativas: módulos de acesso remoto embutidos em softwares mainstream como Zoom, Google Chrome Remote Desktop ou Microsoft Teams podem ser ativados por atacantes que já têm acesso parcial, sem exigir instalação de nova ferramenta. Grupos como [[g1015-scattered-spider|Scattered Spider]] tornaram-se conhecidos por abusar de helpdesks corporativos para instalar RMMs legítimos em alvos de alto valor. **Contexto Brasil/LATAM:** O abuso de software de acesso remoto é endêmico no cenário de ameaças brasileiras. O grupo [[g0048-rtm|RTM]], especializado em fraude bancária corporativa no Brasil e Leste Europeu, utiliza ferramentas de desktop remoto como parte central de suas operações de fraude financeira - muitas vezes engenhando vítimas a instalarem o software voluntariamente. Grupos de ransomware como [[g1053-storm-0501|Storm-0501]] e [[g1046-storm-1811|Storm-1811]] usam RMMs para movimento lateral e implantação de ransomware após acesso inicial. No contexto de espionagem, [[g0094-kimsuky|Kimsuky]] e [[g0129-mustang-panda|Mustang Panda]] usam variações da técnica contra alvos governamentais e acadêmicos na região. O Brasil, com alta densidade de PMEs e baixa maturidade média de segurança, é especialmente vulnerável a ataques baseados em AnyDesk e TeamViewer. ## Attack Flow ```mermaid graph TB A[Acesso Inicial / Engenharia Social] --> B[Instalação RMM Legítimo] B --> C[**C2 via Desktop Remoto**] C --> D[Controle Interativo do Host] D --> E[Ransomware / Exfiltração] ``` ## Como Funciona **1. Preparação** O adversário prepara um pacote de instalação silenciosa do software de acesso remoto escolhido (AnyDesk, ScreenConnect, etc.), configurado com identificador da conta do atacante para receber a conexão automaticamente. Alternativamente, prepara um script de engenharia social para convencer o usuário a instalar o software voluntariamente (ex: se passando por suporte técnico). **2. Execução** O binário do RMM é executado no host-alvo - via phishing de anexo, download drive-by, ou instalação silenciosa por um loader inicial. O software inicia automaticamente, registra-se nos servidores de relay do fornecedor e sinaliza disponibilidade para o atacante. Em ferramentas como AnyDesk, isso gera um ID de sessão único que o adversário usa para se conectar. A conexão sai pela porta 443 para servidores legítimos do fornecedor, passando em branco pela maioria dos firewalls. **3. Pós-execução** Com acesso interativo à área de trabalho, o adversário pode executar comandos, navegar em arquivos, escalar privilégios, instalar implantes adicionais e se mover lateralmente para outros sistemas. Grupos de ransomware usam essa posição para desabilitar antivírus, exfiltrar dados e finalmente implantar o payload criptografador. **Exemplo:** ```bash # Artefato de detecção: instalação silenciosa de RMM via linha de comando # AnyDesk modo silencioso - gera entrada no registro e serviço do sistema: # EventID 4688: anydesk.exe --install --start-with-win --silent # EventID 7045: novo serviço "AnyDesk Service" criado # Rede: conexão de saída para *.anydesk.com:443 de processo não-navegador ``` ## Detecção **Fontes de dados:** Event ID 4688 (criação de processo - instalação silenciosa de RMM), Event ID 7045 (novo serviço instalado), logs de proxy/firewall (conexões para domínios de relay de RMMs conhecidos), EDR (detecção de binários de RMM conhecidos em contexto inesperado), inventário de software (RMMs não autorizados). ```yaml title: Unauthorized Remote Desktop Software Installation id: 5e2d8b47-1f3c-4a9e-d712-8b6c3f1e4d20 status: experimental description: Detects silent installation of common remote desktop software (AnyDesk, TeamViewer, ScreenConnect) via command-line flags, which may indicaté attacker-controlled remote access establishment. logsource: category: process_creation product: windows detection: selection_anydesk: Image|endswith: '\anydesk.exe' CommandLine|contains: - '--install' - '--silent' - '--start-with-win' selection_screenconnect: Image|endswith: '\screenconnect.clientservice.exe' CommandLine|contains: '/install' selection_ammyy: Image|endswith: '\AA_v3.exe' condition: 1 of selection_* falsepositives: - Administrative activity - Authorized IT helpdesk deployments level: high tags: - attack.command_and_control - attack.t1219.002 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Bloquear via application control (AppLocker/WDAC) todos os RMMs não autorizados pelo time de TI; manter inventário atualizado de ferramentas aprovadas e bloquear instalação de novos executáveis por usuários padrão. | | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Bloquear no firewall de saída os domínios de relay de RMMs não autorizados (ex: `*.anydesk.com`, `*.screenconnect.com`, `*.teamviewer.com`) exceto para sistemas de helpdesk autorizados por IP de origem. | | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Implementar política de controle de execução baseada em hash/certificado que impeça a execução de binários de RMM não presentes na lista de aprovados; alertar em tempo real sobre execuções bloqueadas. | ## Threat Actors que Usam - [[g1053-storm-0501|Storm-0501]] - [[g1052-contagious-interview|Contagious Interview]] - [[g0120-evilnum|Evilnum]] - [[g1046-storm-1811|Storm-1811]] - [[g0129-mustang-panda|Mustang Panda]] - [[g0094-kimsuky|Kimsuky]] - [[g0076-thrip|Thrip]] - [[g0048-rtm|RTM]] - [[g1015-scattered-spider|Scattered Spider]] --- *Fonte: [MITRE ATT&CK - T1219.002](https://attack.mitre.org/techniques/T1219/002)*