执行摘要/介绍

端点检测与响应（EDR）解决方案是网络安全计划的基础。但当这些强大的安全工具被转而用于攻击我们，成为攻击的载体时，会发生什么？这就是我们现在面临的悖论，即基于云的EDR和合法的远程监控与管理（RMM）工具日益被滥用。当这些功能通过高度宽松的试用访问程序提供时，这种趋势尤其令人担忧。

本文探讨了由Xcitium云平台驱动的OpenEDR EDR的安全影响。我们将研究该平台全面的RMM功能，以及显著开放的试用访问策略，如何形成可能被威胁行为者利用的强大组合。虽然许多EDR供应商正在收紧其试用版的访问权限并限制交互式命令执行，但OpenEDR的宽松方法确实脱颖而出，允许任何拥有非商业电子邮件的人获得长期的全功能访问。

对于安全运营中心（SOC）和蓝队来说，这带来了一个重大挑战：当恶意活动是由合法签名、受信任的安全产品执行时，你如何检测它？本文将不仅分析问题，还提供实用、可操作的检测策略，包括Sigma规则，以帮助您识别和缓解Xcitium云平台的潜在滥用。目标不是单独针对这个供应商，而是揭示一个关键的安全差距，并赋予防御者保护其组织的知识。

在我们继续文章之前，我想指出，虽然获得试用访问权限可能被利用来进行攻击，但我个人尚未在野外看到任何此类滥用发生。

试用访问问题

强大的RMM工具的低准入门槛日益引起安全专业人员的担忧。就OpenEDR而言，试用访问模式尤其宽松，造成了威胁行为者可以轻松获取并将合法安全工具武器化的情况。本节将详细介绍试用访问过程的具体细节、它为攻击者带来的好处以及这种可访问性水平可能导致的现实场景。

轻松访问，强大能力

OpenEDR平台的注册过程非常简单。根据我的研究观察，用户只需提供姓名、电子邮件地址和虚假电话号码即可创建免费账户。没有明显的验证来确保电子邮件地址来自合法企业，这意味着任何拥有标准Gmail、Yahoo甚至临时电子邮件账户的人都可以获得访问权限。试用期提供至少30天的全功能访问，并且正如大纲所示，这可以通过使用不同的电子邮件地址（包括来自一次性电子邮件服务的地址）创建新账户来轻松续期。

这种简单的访问与其他EDR供应商日益严格的试用要求形成鲜明对比，后者通常要求商业电子邮件验证，有时还需要更详细的审查过程。OpenEDR试用版缺乏此类控制，实际上为任何人（包括恶意行为者）配置功能齐全的RMM和EDR平台打开了大门。

威胁行为者的视角

从威胁行为者的角度来看，这种宽松的试用访问是一个黄金机会。它为他们提供了：

• 合法的签名二进制文件：EDR代理是一个签名的、受信任的应用程序，这使其能够绕过应用程序白名单和其他通常会阻止未知或不受信任软件的安全控制。
• 基于云的命令与控制（C2）：Xcitium平台本身成为C2基础设施。受感染主机与攻击者控制台之间的所有通信都通过与该供应商相关的合法、受信任的域和IP地址路由，这使得检测和阻止变得困难。
• 规避和隐蔽性：因为RMM工具是合法的安全产品，其行为不太可能被其他安全解决方案标记为恶意。以SYSTEM身份运行的进程、文件修改和命令执行都看起来是合法的管理操作。

现实世界的攻击场景

滥用的可能性不仅仅是理论上的。研究人员Ezra Woods和Mike Manrod详细描述的"EDR-on-EDR暴力"现象，展示了攻击者如何积极使用EDR产品的免费试用来禁用受损系统上的其他安全工具[1]。这只是众多可能场景之一。其他潜在的滥用包括：

• 初始访问代理：威胁行为者可以创建并出售预配置的试用账户给其他恶意组织，为他们提供即用型RMM平台用于攻击。
• 勒索软件部署：勒索软件操作者可以使用RMM的文件管理功能上传和执行其有效负载，并使用命令执行功能禁用安全控制并在网络中横向移动。
• 数据窃取：文件资源管理器功能可用于浏览受感染主机的文件系统，并将敏感数据外泄到攻击者控制的云控制台。
• 持久化：RMM的任务调度和服务管理功能可用于创建在重启后仍然存在并规避检测的持久后门。

EDR供应商试用限制比较

为了突出OpenEDR试用版的宽松性质，下表比较了几家主要EDR供应商的试用访问限制。此信息基于公开信息和我们自己的研究，并可能发生变化。

试用访问限制示例表 · GitHub

图例：● = 完全可用/需要，○ = 不可用/不需要

如表所示，OpenEDR因其在试用产品中缺乏商业电子邮件要求以及RMM功能（包括交互式命令shell）的完全可用性而脱颖而出。

功能丰富的响应能力：一把双刃剑

全功能EDR解决方案的强大功能和便利性对于合法的IT管理是不可否认的。然而，在威胁行为者手中，这些相同的能力变成了用于恶意活动的强大武器库。本节将探讨OpenEDR云平台提供的具体响应功能，每个功能如何被颠覆用于恶意目的，以及应对这些威胁的检测策略。

文件资源管理器与文件管理

能力： 文件资源管理器提供对远程系统整个文件系统的完全且不受限制的访问。这包括能够：

• 浏览所有目录，包括隐藏和系统文件夹。
• 将文件从攻击者的机器上传到目标系统的任何位置。
• 从目标系统下载文件到攻击者的机器。
• 创建、修改和删除文件和目录。

检测策略： 为了检测文件管理功能的恶意使用，安全团队应：

• ✓ 监控源自ITSMService.exe进程的文件创建事件。
• ✓ 对在异常位置（如用户目录或临时文件夹）创建可执行文件或脚本文件发出警报。
• ✓ 跟踪上传到敏感目录（如C:\Windows\System32或根目录）的文件。

Sigma规则参考：file_event_win_comodo_itsm_suspicious_file_creation.yml DetectionStream链接：t.ly/jIE0U

交互式命令执行（CMD和PowerShell）

能力： 远程交互式执行命令的能力可能是任何RMM工具最强大和最危险的功能。OpenEDR平台提供：

• 以SYSTEM或登录用户身份执行，赋予攻击者在系统上的最高权限级别。
• 带有伪终端（PTY）支持的交互式shell会话，允许完全交互式的命令行体验。
• 完整的PowerShell访问，包括运行复杂脚本和访问高级系统管理功能的能力。
• 命令历史记录和输出捕获，虽然对合法管理员有用，但也允许攻击者跟踪其活动并收集信息。

检测策略： 检测通过合法RMM工具进行的恶意命令执行需要关注行为指标：

• ✓ 监控ssh-shellhost.exe进程生成cmd.exe或powershell.exe。
• ✓ 对命令行中使用–pty标志发出警报，这表明是交互式会话。
• ✓ 跟踪父子进程关系以识别可疑的进程链。
• ✓ 将命令执行与其他可疑活动（如文件创建或网络连接）关联起来。

Sigma规则参考：proc_creation_win_comodo_ssh_shellhost_cmd_spawn.yml DetectionStream链接：t.ly/0rIwu

代码块示例：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

# 检测逻辑片段
detection:
  selection_image:
    Image|endswith: ‘\COMODO\Endpoint Manager\ssh-shellhost.exe’
  selection_cmdline_cmd:
    CommandLine|contains|all:
      - ‘–pty’
      - ‘cmd’
  selection_cmdline_powershell:
    CommandLine|contains|all:
      - ‘–pty’
      - ‘powershell’

服务管理

能力： RMM平台提供对Windows服务的全面控制，允许管理员（或攻击者）：

• 查看所有服务及其当前状态（运行中、已停止等）的列表。
• 启动、停止和重启系统上的任何服务。

检测考虑： 监控服务管理活动对于检测此类滥用至关重要：

• 监控服务控制事件，特别是事件ID 7035（服务停止）、7036（服务启动）和7040（服务创建）。
• 对任何关键安全服务的修改创建高优先级警报。

进程资源管理器

能力： RMM提供所有运行进程的详细视图以及直接与它们交互的能力：

• 查看所有运行进程的列表，以及它们的命令行、内存使用情况和其他详细信息。
• 终止系统上的任何进程。

Windows事件日志查看

能力： 一项经常被忽视但对攻击者极具价值的功能是能够直接通过RMM界面查看Windows事件日志。OpenEDR平台提供：

• 访问所有Windows事件日志类别（应用程序、安全、设置、系统）。
• 按事件ID、源、类别和时间范围过滤的能力。
• 实时查看安全相关事件。
• 搜索和导出日志数据的能力。

检测挑战

像OpenEDR这样的合法RMM工具的滥用给安全团队带来了重大的检测挑战。传统的检测方法，通常依赖于签名、黑名单和已知的入侵指标（IOC），在面对这种类型的威胁时基本上无效。这是因为攻击者没有使用传统的恶意软件，而是使用合法的、签名的、受信任的安全产品。

为什么传统检测会失败

在这种情况下，传统检测方法不足的原因有几个：

• 签名的二进制文件和受信任的路径：OpenEDR代理及其相关进程都由合法的、受信任的软件供应商COMODO/Xcitium数字签名。它们也安装在标准位置，如C:\Program Files，这些位置通常被安全软件信任。
• 预期行为：RMM工具应该执行命令、管理文件并与服务交互。这使得仅基于操作本身来区分合法的管理操作和恶意活动变得困难。
• 合法的网络流量：受感染端点与攻击者控制的控制台之间的所有通信都是加密的，并发送到Xcitium平台的合法域和IP地址。这种流量与合法的RMM流量无法区分。
• SYSTEM上下文：RMM代理通常以最高权限级别（NT AUTHORITY\SYSTEM）运行以执行其管理功能。因此，即使是高度特权的操作也可能不会被标记为可疑。

行为检测方法

鉴于传统检测方法的局限性，行为方法对于识别RMM工具的恶意使用至关重要。行为方法不是关注正在使用什么工具，而是关注它如何被使用。这涉及：

• 建立基线：了解在您的环境中正常的RMM使用情况至关重要。任何偏离此基线的行为都可以被标记为潜在可疑。
• 上下文是关键：围绕一个操作的上下文通常比操作本身更重要。例如，执行whoami本身并非恶意，但当它在通常不在该时间访问的服务器上于凌晨3点执行时，就变得高度可疑。
• 事件关联：单个可疑操作可能不足以触发警报，但在短时间内发生的一系列可疑操作可能是恶意活动的强烈指标。例如，创建新用户账户，随后映射网络驱动器，然后执行PowerShell脚本，是一个经典的攻击模式。

关键检测原则

为了有效检测RMM工具的滥用，安全团队应关注以下关键原则：

• 进程祖先：仔细跟踪父子进程关系。合法的RMM代理生成不寻常或意外的进程是恶意活动的强烈指标。
• 命令行分析：审查所有进程的命令行，特别是由RMM工具执行的进程。寻找侦察命令、攻击模式和使用LOLBAS。
• 文件操作：监控异常的文件创建、修改或删除事件，特别是在敏感目录中或涉及可疑文件类型时。
• 时间关联：随时间关联事件以识别攻击模式。在短时间内发生的一系列可疑操作是活跃攻击的强烈指标。
• 用户上下文：密切关注所有操作用户上下文。由意外用户账户或在异常时间执行的操作应被调查。

Sigma检测规则：实际实施

为了帮助安全团队主动检测OpenEDR RMM功能的滥用，我开发了两个Sigma规则。Sigma是一种用于SIEM系统的开源通用签名格式，它允许创建可以共享并转换为各种SIEM查询语言的检测规则。本节详细分解每个规则，并提供如何在您的环境中部署和调整它们的指导。

规则 #1：交互式Shell检测

文件：proc_creation_win_comodo_ssh_shellhost_cmd_spawn.yml

它检测什么： 此规则检测COMODO/Xcitium ssh-shellhost.exe进程生成交互式命令shell，无论是cmd.exe还是powershell.exe。这是攻击者使用RMM的远程命令执行功能在受感染系统上获得交互式shell的强烈指标。

规则分解：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

title: COMODO Endpoint Manager SSH Shell Host Spawning Command Shell
detection:
  selection_image:
    Image|endswith: ‘\COMODO\Endpoint Manager\ssh-shellhost.exe’
  selection_cmdline_cmd:
    CommandLine|contains|all:
      - ‘–pty’
      - ‘cmd’
  selection_cmdline_powershell:
    CommandLine|contains|all:
      - ‘–pty’
      - ‘powershell’
  selection_parent:
    ParentImage|endswith: ‘\ITSMService.exe’
  condition: all of selection_image and (selection_cmdline_cmd or selection_cmdline_powershell) and selection_parent

捕获的关键字段：

• CommandLine：ssh-shellhost.exe进程的完整命令行，其中包括–pty标志和shell名称（cmd或powershell）。
• ProcessId / ParentProcessId：ssh-shellhost.exe进程及其父进程ITSMService.exe的进程ID，可用于与其他事件关联。
• User：进程运行所依据的用户账户，在这种情况下应为NT AUTHORITY\SYSTEM。**注意这也可能是登录用户。

调整建议：

• 减少误报：如果您的组织管理员合法使用交互式shell功能，您可能需要将他们的用户账户或他们管理的特定系统加入白名单。
• 提高敏感度：为了更积极的检测态势，您可以移除selection_parent条件，以捕获所有ssh-shellhost.exe生成shell的实例，无论父进程如何。
• 添加上下文：将此规则的警报与其他安全事件（如身份验证日志或网络流量）关联，以获得更完整的活动图景。

示例Sysmon事件日志消息（EID 1）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

Process Create—
RuleName: technique_id=T1083,technique_name=File and Directory Discovery
UtcTime: 2025-10-21 18:26:51.022
ProcessGuid: {b09ccb25-d06b-68f7-0101-000000001500}
ProcessId: 10040
Image: C:\Program Files (x86)\COMODO\Endpoint Manager\ssh-shellhost.exe
FileVersion: -
Description: -
Product: -
Company: -
OriginalFileName: -
CommandLine: “C:\Program Files (x86)\COMODO\Endpoint Manager\ssh-shellhost.exe” —pty cmd --width 130 --height 30 --log-dir “C:\ProgramData\COMODO\Endpoint Manager”
CurrentDirectory: C:\Windows\system32\config\systemprofile
User: NT AUTHORITY\SYSTEM
LogonGuid: {b09ccb25-cd2a-68f7-e703-000000000000}
LogonId: 0x3E7
TerminalSessionId: 0
IntegrityLevel: System
Hashes: SHA1=A7FA727EF16269045E8FB09F49091C549710514D,MD5=DC88B0545B6AAF86C267ECE823E8A4C4,SHA256=1D6F35E716A4643DFDD233F8E7EE379D13BC6F25BA96A62AF4C1622A053451A9,IMPHASH=47A9D28E4486FFD697CEA3B06FDB0B94
ParentProcessGuid: {b09ccb25-cd2d-68f7-4c00-000000001500}
ParentProcessId: 3156
ParentImage: C:\Program Files (x86)\COMODO\Endpoint Manager\ITSMService.exe
ParentCommandLine: “C:\Program Files (x86)\COMODO\Endpoint Manager\ITSMService.exe”
ParentUser: NT AUTHORITY\SYSTEM

规则 #2：可疑文件创建

文件：file_event_win_comodo_itsm_suspicious_file_creation.yml

它检测什么： 此规则检测ITSMService.exe进程创建具有可疑扩展名的文件。这表明攻击者使用RMM的文件管理功能将恶意有效负载上传到受感染系统。

规则分解：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21

title: COMODO Endpoint Manager Suspicious File Creation via ITSMService
detection:
  selection_process:
    Image|endswith: ‘\COMODO\Endpoint Manager\ITSMService.exe’
  selection_suspicious_extensions:
    TargetFilename|endswith:
      - ‘.exe’
      - ‘.dll’
      - ‘.ps1’
      - ‘.bat’
      - ‘.cmd’
      - ‘.vbs’
      - ‘.js’
      - ‘.hta’
      - ‘.scr’
      - ‘.com’
      - ‘.pif’
      - ‘.zip’
      - ‘.rar’
      - ‘.7z’
  condition: selection_process and selection_suspicious_extensions

捕获的关键字段：

• TargetFilename：创建的文件的完整路径，可用于识别可疑文件的位置和名称。
• CreationUtcTime：文件创建事件的时间戳，对于时间线分析至关重要。
• User：创建文件的用户账户，很可能是NT AUTHORITY\SYSTEM。
• ProcessId：ITSMService.exe进程的进程ID，可用于关联。

调整建议：

• 添加位置过滤器：为了减少误报，您可以向规则添加条件，仅对在特定位置创建的文件发出警报，例如用户目录（C:\Users*）或临时文件夹（C:\Windows\Temp）。
• 白名单合法部署：如果您的组织使用RMM部署合法软件，您可能需要将已知良好文件的哈希或特定部署路径加入白名单。

示例Sysmon事件日志消息（EID 11）：

1
2
3
4
5
6
7
8
9

File created—
RuleName: -
UtcTime: 2025-10-21 18:39:46.737
ProcessGuid: {b09ccb25-cd2d-68f7-4c00-000000001500}
ProcessId: 3156
Image: C:\Program Files (x86)\COMODO\Endpoint Manager\ITSMService.exe
TargetFilename: C:\mimikatz.exe
CreationUtcTime: 2025-10-21 18:39:46.737
User: NT AUTHORITY\SYSTEM

给COMODO/Xcitium的建议

必须承认，OpenEDR中的RMM功能旨在用于合法的管理用途。宽松的试用可能旨在展示产品的全部功能，并尽可能方便潜在客户评估软件。从供应商的角度来看，产品的安全性取决于客户的正确部署和监控。

虽然我们理解供应商的立场，但我们相信可以采取几个步骤来减轻滥用风险，而不会显著影响产品的合法使用：

• 实施商业电子邮件验证：要求试用账户使用有效的商业电子邮件地址，将是阻止随意滥用的简单有效方法。
• 在试用版中限制高风险功能：最强大的RMM功能，如交互式命令shell，可以在试用版产品中禁用或限制。
• 为试用用户实施审计日志记录：向试用用户提供清晰可访问的所有RMM活动审计日志，将增加透明度和问责制。
• 添加速率限制：对命令执行和文件传输实施速率限制，有助于防止大规模滥用。

组织的缓解策略

保护免受合法RMM工具滥用需要多层次、深度防御的方法。没有任何单一的安全控制足以预防、检测和响应这种类型的威胁。本节概述了组织可以实施的全面缓解策略，以降低其风险。

预防

第一道防线是防止RMM工具在您的环境中未经授权安装和使用：

• 应用程序白名单：实施严格的应用程序白名单策略，仅允许安装和执行批准的软件。这可以防止未经授权安装RMM工具，即使攻击者获得了管理权限。
• 网络分段：对网络进行分段，以限制端点的出站通信仅为业务功能所必需的内容。这可以防止RMM工具与其基于云的C2基础设施通信。
• 最小权限原则：执行最小权限原则，以限制具有管理权限的用户数量。这将使攻击者更难获得安装RMM工具所需的权限。
• 端点加固：通过禁用不必要的服务、移除未使用的软件和实施其他安全最佳实践来加固您的端点。这可以减少攻击面，使攻击者更难获得立足点。

检测

如前面章节所述，行为检测方法对于识别RMM工具的恶意使用至关重要。这涉及：

• 部署提供的Sigma规则：用于交互式shell检测和可疑文件创建的Sigma规则可以提供RMM滥用的早期警告。
• 基线化正常的RMM使用：如果您将RMM工具用于合法的管理目的，建立正常活动的基线至关重要。这将使您更容易识别异常和潜在的恶意行为。
• 对异常发出警报：对任何偏离基线的行为创建高优先级警报，例如在异常时间、来自异常位置或涉及异常命令的RMM活动。
• 关联事件：将RMM活动与其他安全事件（如身份验证日志、网络流量和文件完整性监控）关联起来，以获得更完整的威胁图景。

响应

如果您在环境中检测到RMM工具的恶意使用，制定明确的事件响应计划非常重要。该计划应包括：

• 隔离：立即将受感染系统与网络隔离，以防止攻击者横向移动。
• 凭证轮换：假设存储在受感染系统上或输入到该系统的任何凭证已被窃取。轮换与系统及其用户相关的所有密码和其他凭证。
• 取证收集：保存系统以进行取证分析。这包括收集内存转储、磁盘映像和所有相关的日志文件。
• 根除和恢复：一旦事件得到遏制和调查，从系统中根除攻击者的存在，并将其恢复到已知良好状态。

组织策略

最后，制定关于使用RMM工具的清晰组织策略非常重要：

• 批准的RMM工具列表：维护一个在您环境中授权使用的批准RMM工具列表。
• 变更管理：要求所有新的RMM部署都经过正式的变更管理过程。
• 供应商评估：在批准新的RMM工具之前，对供应商及其产品进行彻底的安全评估。
• 用户培训：教育用户有关社会工程攻击的风险，这些攻击可能试图诱骗他们安装恶意的RMM工具。

结论

合法安全工具的武器化对防御者构成了重大挑战。OpenEDR宽松试用访问和强大RMM功能的例子突显了即使是安全工具也可能成为主要攻击点。任何人都能以最小验证轻松访问功能齐全的企业级RMM平台，这一事实构成了不容忽视的重大安全风险。然而，正如我们在本文中所示，检测是可以实现的。通过将我们的焦点从传统的基于签名的检测转向行为方法，并利用像Sigma这样的社区驱动检测工程的力量，我们可以重新获得可见性和控制权。

关键要点：

• 合法工具可以被武器化：EDR和RMM平台是强大的工具，可以被攻击者滥用以规避检测并实现其目标。
• 宽松的试用创造风险：轻松访问强大的安全工具使威胁行为者能够行事，并降低了复杂攻击的准入门槛。
• 检测是可能的：关注上下文和关联的行为方法对于检测合法工具的恶意使用至关重要。
• 深度防御至关重要：没有任何单一的安全控制足以保护免受这种类型的威胁。涵盖预防、检测和响应的多层次方法至关重要。

对于安全团队：

• 部署提供的Sigma规则，以立即获得环境中潜在RMM滥用的可见性。
• 基线化您的RMM工具使用情况，以了解正常的管理活动是什么样的。
• 实施对所有管理工具的监控，而不仅仅是已知恶意的工具。
• 测试您的检测能力，以确保您能够检测并响应这种类型的威胁。

对于供应商：

• 实施更强的试用验证，以防止您的产品被随意滥用。
• 在试用版中限制高风险功能，以限制滥用的可能性。
• 向您的客户提供明确的安全指导，说明如何安全地部署和监控您的产品。
• 默认启用审计日志记录，以增加透明度和问责制。

对于研究人员：

• 测试其他RMM平台是否存在类似问题，以识别其他潜在的安全差距。
• 与社区分享您的检测策略，以帮助他人保护自己。
• 为Sigma规则库做出贡献，以帮助构建更全面的社区驱动检测集。
• 实践负责任的披露，以确保供应商有机会在漏洞被公开披露之前解决它们。

附加资源与参考文献

Sigma规则库：

• GitHub：[您的存储库链接]
• 包含的规则：
  • proc_creation_win_comodo_ssh_shellhost_cmd_spawn.yml
  • file_event_win_comodo_itsm_suspicious_file_creation.yml

进一步阅读：

• [1] Woods, E., & Manrod, M. (2025, July 31). ‘EDR-on-EDR Violence’: Hackers turn security tools against each other. CSO Online. https://www.csoonline.com/article/4032009/edr-on-edr-violence-hackers-turn-security-tools-against-each-other.html

MITRE ATT&CK：

• T1219（远程访问软件）— https://attack.mitre.org/techniques/T1219/
• T1105（入口工具传输）— https://attack.mitre.org/techniques/T1105/
• T1059.003（命令和脚本解释器：Windows命令Shell）— https://attack.mitre.org/techniques/T1059/003/

Proofpoint. (2025, March 7). Remote Monitoring and Management (RMM) Tooling Increasingly an Attacker’s First Choice. https://www.proofpoint.com/us/blog/threat-insight/remote-monitoring-and-management-rmm-tooling-increasingly-attackers-first-choice

工具与框架：

• Sigma: https://github.com/SigmaHQ/sigma
• EDR Telemetry Project: https://www.edr-telemetry.com/