最近，黑客使用 "远程管理工具"控制受感染系统并绕过保护技术的事件有所增加
远程管理工具是一种可以从远程位置管理和控制终端的软件
这些工具既可用于在家办公，也可用于远程控制、管理和维护无人值守设备
"远程管理工具 "或 RAT 是合法使用的远程控制工具
"通过在目标系统中安装远程管理工具，威胁者能够同时获得对系统的控制权并绕过反恶意软件安全产品"，AhnLab 在与 GBHackers On Security 的一份报告中分享道
使用远程管理工具控制受感染系统AnyDesk是一款远程控制应用程序，具有文件传输和远程桌面等多种功能
远程桌面是一种允许用户远程访问和控制安装了 RDP 或 AnyDesk 的环境的程序
在这种情况下，Conti 勒索软件组织等攻击者会将 AnyDesk 与 Cobalt Strike 连接起来，试图控制公司的内部网络
使用 AnyDesk 进行远程控制NetSupport还是一款远程控制程序，还提供共享剪贴板内容、截图、收集浏览器历史数据、管理文件和执行命令等功能
它不需要使用标准安装程序进行安装，只需使用基本的内部文件即可操作
直到最近，它还通过垃圾邮件传播，这些邮件声称是采购订单、装运文件、发票，甚至是钓鱼网页，通过假装是 SocGholish 软件更新页面诱骗用户自行安装
NetSupport 执行日志 - EDR 检测Chrome 远程桌面是谷歌提供的一项功能
只要安装了远程桌面程序并与用户账户关联，就可以使用 Chrome 浏览器远程操作系统
据信，Kimsuky 组织得到了朝鲜的支持，其攻击的目的通常是窃取企业的技术和机密数据
为了远程控制被入侵的系统，该组织会安装 VNC 等恶意软件，或在安装后门型恶意软件后激活 RDP
EDR 检测到可疑的 Chrome 浏览器远程桌面执行行为在最近的某些情况下，Chrome 远程桌面已被用来控制被入侵的电脑
最终想法即使用户出于合法的远程控制原因使用远程管理工具，AhnLab EDR 也能收集并提供相关数据
这使管理员能够识别和处理可疑行为
此外，当可疑情况导致安装远程管理工具时，这些行为会被识别为威胁，使管理员能够确定根本原因，采取适当措施，并制定程序防止再次发生