Fałszywy Word Online i RMM

TL;DR

Fałszywy Word Online to scenariusz phishingowy, w którym użytkownik widzi pozornie zwykły dokument do otwarcia lub podglądu. Problem zaczyna się wtedy, gdy dokument nie jest celem, ale bramą do kolejnych działań: pobrania instalatora, uruchomienia procesu, instalacji narzędzia RMM i uzyskania zdalnego dostępu do komputera.

W materiale opisanym przez Hackread na podstawie analizy ANY.RUN łańcuch ataku prowadził od wiadomości Outlook przez fałszywą stronę Word Online lub OneDrive, instalator MSI, ciche wykonanie z użyciem Ninite, ScreenConnect jako narzędzie zdalnego dostępu oraz HideUL jako mechanizm ukrywania aktywności. RMM, czyli remote monitoring and management, to legalne narzędzia zdalnego zarządzania. W rękach IT pomagają obsługiwać komputery. W rękach przestępcy mogą otworzyć drogę do aktywnego dostępu do środowiska firmy.

Dla organizacji najważniejszy wniosek jest praktyczny: phishingu nie można oceniać wyłącznie po stronie logowania albo załączniku. Trzeba zobaczyć, co wydarzyło się po kliknięciu. Czy użytkownik pobrał plik. Czy uruchomił instalator. Czy pojawiło się narzędzie zdalnego dostępu. Czy atakujący mógł wejść na komputer zanim SOC uznał zdarzenie za poważne.

Fałszywy dokument jako początek łańcucha

Dokumenty Microsoft 365, OneDrive i Word Online są naturalnym elementem pracy. Pracownicy codziennie otwierają pliki od współpracowników, dostawców, klientów, HR, finansów, projektów i zewnętrznych partnerów. Atakujący korzystają z tego zaufania, bo wiedzą, że dokument nie wygląda jak nietypowa czynność.

Fałszywa strona Word Online działa jak przynęta osadzona w znanym procesie. Odbiorca widzi informację o pliku, przycisk otwarcia dokumentu albo pozornie normalny ekran podglądu. Jeżeli strona wymaga dodatkowego pobrania lub instalacji, część użytkowników może uznać, że to problem z formatem, aktualizacją, dostępem albo zgodnością.

W tym miejscu phishing przestaje być tylko wyłudzeniem hasła. Staje się metodą wprowadzenia człowieka w proces instalacji narzędzia, które wygląda legalnie. To trudniejsze dla użytkownika i trudniejsze dla SOC, bo każdy etap może osobno wyglądać mniej groźnie niż pełny łańcuch.

Taki scenariusz jest szczególnie istotny dla firm, które często pracują na dokumentach zewnętrznych: kancelarii, finansów, HR, sprzedaży, zamówień, logistyki, administracji, projektów, edukacji i sektora publicznego. Tam kliknięcie w dokument jest częścią pracy, nie wyjątkiem.

RMM jako element ataku

RMM, czyli remote monitoring and management, to oprogramowanie do zdalnej obsługi i zarządzania urządzeniami. Narzędzia takie jak ScreenConnect, AnyDesk, TeamViewer, RustDesk, LogMeIn czy podobne rozwiązania mogą być używane legalnie przez IT. To właśnie dlatego są atrakcyjne dla atakujących.

Klasyczny malware może zostać rozpoznany przez antywirusa, EDR albo sandbox. Legalne narzędzie zdalnego dostępu może natomiast wyglądać jak normalna aplikacja. Jeśli organizacja sama używa podobnych narzędzi, wykrycie nadużycia wymaga kontekstu: kto zainstalował program, kiedy, z jakiego źródła, na czyje polecenie i czy sesja zdalna była autoryzowana.

W opisanym łańcuchu ryzyko nie polegało tylko na tym, że użytkownik odwiedził fałszywą stronę. Ryzykiem było przejście do instalacji, a następnie możliwość uzyskania dostępu do urządzenia. Od tego momentu atakujący może obserwować ekran, kopiować pliki, wykonywać polecenia, szukać poświadczeń, przechodzić do systemów firmowych albo prowadzić dalszą manipulację.

To pokazuje, dlaczego pytanie po incydencie nie może brzmieć tylko: czy ktoś kliknął. Trzeba zapytać: co zostało pobrane, co uruchomiono, jakie procesy powstały, jakie połączenia nawiązano i czy pojawił się zdalny dostęp.

Dlaczego SOC może zobaczyć za mało

W wielu firmach analiza incydentu zaczyna się od pojedynczych sygnałów. Filtr poczty widzi wiadomość. EDR widzi proces. Proxy widzi adres URL. Helpdesk widzi zgłoszenie użytkownika. SIEM widzi logi. Jeżeli te dane nie zostaną połączone, łańcuch ataku może zostać potraktowany jako kilka niepowiązanych, średnio groźnych zdarzeń.

Fałszywy Word Online z RMM jest dobrym przykładem takiej luki. Sam link może wyglądać jak phishing. Instalator MSI może wyglądać jak zwykłe pobranie. Ninite może wyglądać jak narzędzie instalacyjne. ScreenConnect może wyglądać jak legalne RMM. Dopiero razem tworzą aktywną ścieżkę do zdalnego dostępu.

W reakcji SOC na phishing po filtrze poczty najważniejsze jest zbudowanie osi czasu. Kiedy wiadomość dotarła. Kiedy użytkownik kliknął. Co pobrał. Co uruchomił. Jakie procesy powstały. Jakie połączenia sieciowe nawiązano. Czy na komputerze pojawiło się zdalne sterowanie. Czy podobna wiadomość trafiła do innych osób.

Jeżeli SOC działa tylko na reputacji pliku lub domeny, może zareagować zbyt późno. W atakach z legalnymi narzędziami liczy się zachowanie, nie tylko sygnatura.

Co powinien zrobić użytkownik

Użytkownik powinien znać prosty moment zatrzymania: dokument z linku nie powinien wymagać instalowania dodatkowego programu, narzędzia zdalnej pomocy ani nieznanego komponentu. Jeżeli strona Word Online, OneDrive, SharePoint albo Google Docs prosi o pobranie instalatora, archiwum, pliku wykonywalnego lub narzędzia wsparcia, proces trzeba przerwać.

Nie należy instalować żadnej aplikacji tylko dlatego, że dokument rzekomo nie chce się otworzyć. Nie należy też dzwonić pod numer z fałszywej strony ani wykonywać instrukcji konsultanta, który pojawia się po kliknięciu w link. Jeżeli dokument jest prawdziwy, nadawca może przesłać go ponownie znanym kanałem lub potwierdzić sprawę niezależnie.

W firmie użytkownik powinien zgłosić wiadomość do IT, helpdesku lub SOC i opisać, co dokładnie zrobił. Czy tylko kliknął. Czy pobrał plik. Czy uruchomił instalator. Czy zobaczył okno zdalnego dostępu. Czy ktoś dzwonił. Taka szczerość jest ważniejsza niż idealna reakcja. Ukrycie instalacji RMM może dać atakującemu czas.

W testach phishingowych dla firm warto ćwiczyć właśnie ten moment: nie samo kliknięcie w dokument, ale przerwanie procesu, gdy dokument nagle wymaga instalacji, zgody, kodu lub zdalnego dostępu.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link, ale nie pobrał ani nie uruchomił pliku, powinien zgłosić wiadomość i nie wracać do strony. Zespół IT powinien sprawdzić URL, nagłówki wiadomości, logi proxy, DNS oraz to, czy wiadomość trafiła do innych skrzynek.

Jeżeli użytkownik pobrał plik MSI, EXE, ZIP, skrypt albo archiwum, nie powinien go ponownie otwierać ani przesyłać przypadkowymi kanałami. Plik trzeba zabezpieczyć do analizy. Jeżeli plik został uruchomiony, urządzenie powinno zostać sprawdzone pod kątem nowych procesów, usług, zadań harmonogramu, wpisów autostartu, połączeń sieciowych i zapisanych plików.

Jeżeli zainstalowano ScreenConnect lub inne narzędzie RMM, urządzenie trzeba traktować jako potencjalnie przejęte. Należy odizolować komputer od sieci zgodnie z procedurą, zachować artefakty, sprawdzić logi EDR, historię procesów, połączenia zewnętrzne i aktywność użytkownika po instalacji. Trzeba też zmienić lub unieważnić poświadczenia używane na tym urządzeniu, szczególnie jeśli użytkownik logował się do poczty, VPN, bankowości, Microsoft 365, Google Workspace albo systemów biznesowych.

Jeżeli atakujący miał dostęp do komputera, reakcja musi objąć także procesy biznesowe. Czy otwierano dokumenty finansowe. Czy używano systemu księgowego. Czy były aktywne sesje do banku. Czy wysyłano wiadomości do kontrahentów. Czy pobierano dane. Czy konto mogło zostać wykorzystane do dalszego phishingu.

Co powinna zrobić organizacja

Organizacja powinna mieć jasną politykę RMM. Lista dozwolonych narzędzi, właściciele, sposób instalacji, zasady sesji, logowanie, alerty i blokady powinny być ustalone wcześniej. Jeżeli firma używa ScreenConnect, AnyDesk albo innego narzędzia, tym bardziej musi odróżniać legalną sesję IT od instalacji wykonanej przez użytkownika po kliknięciu w link.

Warto monitorować nowe instalacje narzędzi zdalnych, procesy potomne przeglądarki, uruchomienia MSI, nietypowe użycie Ninite, nowe usługi systemowe, outbound connections do znanych platform RMM i próby ukrywania okien lub procesów. To nie musi oznaczać blokowania wszystkich narzędzi zdalnych, ale powinno oznaczać kontrolę.

Zespół SOC powinien mieć playbook dla phishingu prowadzącego do zdalnego dostępu. Playbook powinien obejmować analizę wiadomości, endpointa, logów, pobrań, procesów, sesji, kont użytkownika i działań po instalacji. Warto też określić, kiedy incydent przechodzi z kategorii podejrzany link do kategorii aktywny dostęp do urządzenia.

Awareness powinien tłumaczyć pracownikom, że legalne narzędzie w fałszywym procesie nadal jest ryzykiem. Nie trzeba znać nazw wszystkich aplikacji. Wystarczy rozumieć zasadę: dokument, bank, paczka, faktura albo portal nie powinny prowadzić do instalacji zdalnej pomocy bez niezależnego potwierdzenia.

Jak ćwiczyć taki scenariusz

Scenariusz fałszywego dokumentu dobrze sprawdza odporność pracowników, bo odzwierciedla codzienną pracę. Wiadomość może wyglądać jak udostępniony plik, zaproszenie do współpracy, dokument od kontrahenta, oferta, zamówienie, faktura albo podgląd w chmurze. Ryzyko pojawia się dopiero wtedy, gdy użytkownik ma pobrać lub uruchomić coś poza normalnym procesem.

W symulacji nie trzeba dostarczać prawdziwego instalatora. Wystarczy kontrolowana strona edukacyjna, która pokazuje, że dalszy krok byłby ryzykowny. Mikrolekcja po kliknięciu może wyjaśnić, dlaczego dokument online nie powinien wymagać MSI, RMM ani zdalnej pomocy oraz jak zgłosić taki przypadek.

Dobra kampania mierzy kilka zachowań: otwarcie wiadomości, kliknięcie, próbę pobrania, próbę uruchomienia, zgłoszenie, czas reakcji i to, czy użytkownik przekazał wiadomość dalej. Dla zespołu IT można równolegle przeprowadzić tabletop: co zrobimy, jeśli użytkownik faktycznie zainstalował RMM.

Taki test pokazuje nie tylko świadomość pracowników, ale też gotowość organizacji do rozpoznania pełnego łańcucha ataku.

Wniosek

Fałszywy Word Online z instalacją RMM pokazuje, że granica między phishingiem a aktywnym dostępem do środowiska firmy może być bardzo krótka. Użytkownik nie widzi malware. Widzi dokument, instalator i narzędzie, które może kojarzyć się z legalnym wsparciem technicznym.

Najważniejsza zasada dla firmy brzmi: po kliknięciu trzeba analizować zachowanie, nie tylko reputację linku. Jeżeli dokument prowadzi do instalacji, zdalnego dostępu lub ukrywania aktywności, to nie jest zwykły incydent phishingowy. To możliwy początek intruzji, którą trzeba zatrzymać zanim ktoś zacznie pracować na komputerze ofiary z drugiej strony ekranu.