Overzicht

Het kan voorkomen dat Remote Monitoring & Management (RMM)‑tools door ESET‑producten worden geclassificeerd als Potentially Unsafe Application. Dit komt doordat dergelijke software beschikt over functionaliteiten zoals:

• Remote toegang

• Scriptuitvoering

• Systeembeheer op afstand

• Automatiseringsmogelijkheden

Dit type functionaliteit wordt niet alleen gebruikt voor legitiem beheer, maar ook regelmatig door aanvallers wanneer zij toegang verkrijgen tot een omgeving. Hierdoor vallen RMM‑tools binnen een categorie die extra aandacht verdient.

Meer informatie: Potentially unsafe applications – ESET Glossary

Wanneer uitsluiten?

Indien de RMM‑tool een bewuste en beheerde installatie betreft en binnen de organisatie gewenst is, kan deze waarschuwing onderdrukt worden door middel van een Detection Exclusion in ESET PROTECT.

Hoe dit werkt staat beschreven in de officiële handleiding: Create a detection exclusion – ESET PROTECT

Belangrijke aandachtspunten

De hash van een uitvoerbaar bestand van RMM‑tools kan regelmatig wijzigen (bijvoorbeeld door updates).

Hierdoor is een uitzondering op basis van ‘Exact file’ vaak niet effectief.

Ons advies is daarom om de uitzondering aan te maken op basis van Detection, zodat toekomstige versies van dezelfde toepassing ook correct worden genegeerd.

Dreigingslandschap

De laatste tijd worden er opnieuw campagnes waargenomen:

• lees hier meer over bij Microsoft: Signed malware impersonating workplace apps deploys RMM backdoors | Microsoft Security Blog

• less hier meer over bij Huntress: RMM Abuse: When IT Convenience Bites Back | Huntress

Hier misbruiken kwaadaardige actoren legitieme RMM‑tools voor:

• Initiële toegang

• Laterale beweging

• Data‑exfiltratie

Het is daarom belangrijk zorgvuldig om te gaan met uitzonderingen, en deze uitsluitend toe te passen op software waarvan het gebruik volledig bekend en gecontroleerd is.