基于 RMM 工具滥用的 VENOMOUS#HELPER 钓鱼攻击技术分析与防御研究

摘要

2025 年 4 月以来，代号VENOMOUS#HELPER的钓鱼攻击活动针对全球超 80 家机构实施定向入侵，核心手段为滥用 SimpleHelp 与 ScreenConnect 两类合法远程监控与管理（RMM）工具，构建冗余双通道远程控制架构，实现高隐蔽持久化访问。该攻击依托仿冒美国社会保障局（SSA）钓鱼邮件、入侵合法墨西哥商业站点分发载荷、JWrapper 封装可执行文件落地、Windows 服务自守护、权限提升与双 RMM 通道冗余等关键技术，深度规避传统特征型检测机制，已对美国等地区政企机构形成实质性安全威胁。本文以该实战攻击链为研究对象，系统拆解社会工程诱导、载荷投递、持久化驻留、权限维持、双通道控制等全流程技术细节，结合终端行为监测、网络流量分析、威胁狩猎规则与应急响应脚本开展实证分析，提出覆盖终端、网络、管理、人员的纵深防御体系，为抵御同类合法工具滥用型钓鱼攻击提供可落地技术方案。

关键词：RMM 工具滥用；钓鱼攻击；持久化访问；双通道控制；终端安全；威胁防御

1 引言

远程监控与管理（RMM）工具是现代 IT 运维体系的核心支撑组件，凭借标准化部署、跨平台兼容、稳定远程控制与系统级权限能力，广泛应用于企业终端维护、故障排查、软件分发与安全巡检。SimpleHelp、ConnectWise ScreenConnect 等产品具备合法数字签名、透明通信机制与标准化安装流程，长期被安全设备纳入信任列表，天然具备低告警、高隐蔽的部署优势。

威胁态势演变显示，初始访问中间商（IAB）与勒索软件前置组织正加速将合法 RMM 工具武器化，依托社会工程诱导用户主动安装，以 “合法工具、恶意用途” 模式突破防御边界，构建持久化控制通道。此类攻击不依赖传统恶意代码特征，行为高度贴近正常运维操作，传统防病毒（AV）、终端检测与响应（EDR）易出现漏判与误判。

Securonix 于 2026 年 5 月公开的 VENOMOUS#HELPER 攻击活动，自 2025 年 4 月持续活动，累计波及 80 余家机构，以美国为主要目标区域，与 Red Canary、Sophos 追踪的 STAC6405 集群存在高度重叠，攻击动机指向金融牟利与勒索前置访问售卖。该活动完整呈现 “钓鱼诱导 — 合法站点投毒 — 双 RMM 冗余部署 — 系统权限维持 — 长期隐蔽控制” 的闭环链路，代表当前合法工具滥用类钓鱼攻击的典型范式。

反网络钓鱼技术专家芦笛指出，VENOMOUS#HELPER 的核心威胁在于将合法运维工具转化为攻击基础设施，通过双通道冗余设计提升生存能力，迫使防御范式从 “特征匹配” 转向 “行为基线 + 上下文关联” 的动态检测模式，对现有安全架构形成颠覆性挑战。

本文以 VENOMOUS#HELPER 为实证样本，完整还原攻击全生命周期技术细节，剖析 RMM 工具滥用的隐蔽机理与防御失效根源，提出可工程化的检测规则、响应脚本与防御体系，为机构抵御同类威胁提供理论支撑与实践指引。

2 相关技术与威胁背景

2.1 RMM 工具核心功能与安全属性

RMM 工具面向分布式终端运维，提供远程控制、文件传输、进程管理、注册表操作、系统巡检等能力，通常采用 C/S 架构，客户端以系统服务运行，具备开机自启、断网重连、安全模式驻留特性。主流产品具备以下安全相关属性：

合法数字签名，绕过应用白名单与信誉检测；

标准化安装流程，行为贴近正常运维，降低行为告警概率；

系统级权限能力，支持远程指令执行、权限提升与横向移动；

加密通信通道，规避流量特征识别与内容解析。

SimpleHelp 5.0.1 与 ConnectWise ScreenConnect 是本次攻击的核心载体，前者支持安全模式持久化、自守护进程与调试权限获取，后者提供轻量化部署、后台静默运行与多节点管理能力，二者组合形成互补型控制通道。

2.2 合法工具滥用（Living-off-the-Land）攻击范式

Living-off-the-Land（LotL）指攻击者依托系统自带组件、合法软件、标准化运维工具实施入侵，不依赖定制恶意代码，降低暴露面。RMM 工具滥用具备典型 LotL 特征：

信任滥用：安全设备默认放行签名合法的 RMM 客户端；

行为混淆：远程安装、文件传输、进程启停与正常运维高度相似；

持久化便捷：依托服务、计划任务、注册表实现稳定驻留；

处置困难：卸载需管理员权限与专用流程，易被攻击者规避。

反网络钓鱼技术专家芦笛强调，RMM 工具滥用已成为 IAB 获取初始访问的首选路径，其攻击成本低、隐蔽性强、通用性高，可快速对接勒索、数据窃取、僵尸网络等下游攻击活动，形成黑色产业链闭环。

2.3 钓鱼攻击社会工程演进趋势

当代定向钓鱼呈现高仿真、场景化、链路化特征：

仿冒权威机构：利用政府、金融、运营商等高信任主体制造紧迫感；

链路分段：诱饵链接、载荷分发、C2 通信分离部署，提升溯源难度；

合法站点投毒：入侵正规网站托管载荷，规避邮件网关与信誉检测；

诱导主动执行：以文件核验、信息更新、福利申领为名义，降低用户警惕。

VENOMOUS#HELPER 整合上述趋势，形成 “高仿真邮件 — 可信站点 — 合法工具 — 系统级持久化” 的完整杀伤链，代表当前钓鱼攻击的高级演进形态。

3 VENOMOUS#HELPER 攻击全流程技术拆解

3.1 攻击活动整体概况

VENOMOUS#HELPER 具备以下核心特征：

持续周期：2025 年 4 月至 2026 年 5 月，长期稳定活动；

目标规模：全球 80 + 机构，以美国政企、金融、科技行业为主；

攻击定位：初始访问获取，面向 IAB 售卖或勒索前置部署；

技术路径：钓鱼邮件→合法站点投毒→RMM 客户端投递→权限提升→双 RMM 冗余控制；

威胁标签：STAC6405、RMM 滥用、LotL 攻击、持久化远程访问。

3.2 钓鱼邮件社会工程设计

攻击以仿冒美国社会保障局（SSA）邮件为入口，核心诱导逻辑：

主题：SSA 账户核验、福利声明确认、邮件地址更新；

内容：提示账户异常，要求点击链接核验身份并下载官方声明文件；

诱饵设计：以政府公信力制造焦虑，诱导用户忽略安全风险；

链路伪装：链接指向被入侵的墨西哥商业站点gruta.com.mx，依托域名高信誉绕过邮件 spam 过滤。

该设计规避恶意域名黑名单，利用用户对政府机构的无条件信任提升点击率，为后续载荷投递创造入口。

3.3 载荷分发与站点投毒实现

攻击者采用分段投递策略，降低单节点失效风险：

第一跳：被入侵的墨西哥商业站点gruta.com.mx，作为诱饵落地页；

第二跳：攻击者控制域名server.cubatiendaalimentos.com.mx，托管核心载荷；

入侵方式：攻破合法托管服务器 cPanel 账户，上传恶意程序，利用正规站点流量掩护恶意访问。

此策略使载荷分发链路具备合法域名外衣，有效规避网关检测与人工核验。

3.4 客户端封装与初始驻留技术

目标用户下载的文件为 JWrapper 封装的 Windows 可执行程序，伪装为 PDF / 文档类文件，执行后触发以下行为：

释放 SimpleHelp 客户端组件，注册为 Windows 系统服务；

配置安全模式持久化，确保系统修复模式下仍可运行；

启动自守护看门狗进程，被终止后自动重启；

周期性侦察：每 67 秒通过 WMI 查询 root\SecurityCenter2 枚举安全软件，每 23 秒检测用户在线状态。

上述行为实现无感知落地与稳定驻留，为远程控制奠定基础。

3.5 权限提升与全功能控制实现

SimpleHelp 客户端通过以下技术获取系统级控制权：

调用 AdjustTokenPrivileges 获取 SeDebugPrivilege 调试权限；

依托合法组件 elev_win.exe 实现 SYSTEM 权限提升；

开启屏幕读取、键盘注入、进程注入、文件双向传输能力；

提供完整交互式桌面访问，支持跨终端横向移动。

权限获取后，攻击者具备对目标主机的完全操控权，且所有行为依托合法签名程序执行，传统 AV 无有效告警。

3.6 双通道冗余控制架构部署

为提升生存能力，攻击者部署双 RMM 冗余通道：

主通道：SimpleHelp 5.0.1，提供强持久化与系统级控制；

备用通道：ConnectWise ScreenConnect，轻量化静默部署，作为主通道失效后的 fallback 链路；

架构价值：任一通道被封堵，另一通道维持控制，避免入侵中断，显著提升攻击韧性。

反网络钓鱼技术专家芦笛强调，双通道冗余是 VENOMOUS#HELPER 区别于常规钓鱼攻击的核心特征，标志着攻击从 “单次渗透” 向 “长期隐蔽控制” 升级，对威胁狩猎与应急响应提出更高要求。

3.7 攻击链路技术总结

VENOMOUS#HELPER 形成标准化、可复制的攻击闭环：

社会工程诱导→合法站点投毒→载荷落地驻留→权限提升→主 RMM 控制→备用 RMM 部署→长期隐蔽控制→数据窃取 / 勒索前置。

全流程无明显恶意特征，依托合法软件与系统机制突破防御，具备大规模扩散潜力。

4 核心技术机理与防御失效分析

4.1 RMM 工具滥用隐蔽机理

签名信任绕过：合法数字签名使客户端被安全设备默认放行；

行为混淆：安装、启动、通信、控制与正常运维高度一致；

无文件特征：核心逻辑依托合法程序执行，无恶意代码特征；

系统级融合：以服务运行、安全模式驻留、自守护实现深度驻留；

流量加密：TLS 加密通信规避流量检测与内容识别。

4.2 传统防御机制失效根源

特征检测失效：无恶意哈希、特征码、恶意域名可匹配；

信誉检测失效：分发域名、程序签名、行为主体均为合法主体；

静态防御失效：依赖黑名单、白名单、规则库的静态机制无法识别合法工具滥用；

上下文缺失：单一维度监测无法判断 RMM 安装是否为授权行为；

响应滞后：双通道冗余使阻断单一路径无法彻底清除威胁。

4.3 攻击关键脆弱点提炼

尽管隐蔽性极强，VENOMOUS#HELPER 仍存在可检测脆弱点：

异常安装链路：非 IT 运维流程触发的 RMM 客户端安装；

周期性侦察行为：固定频率 WMI 枚举安全软件与用户状态；

权限异常获取：普通终端进程获取 SeDebugPrivilege 与 SYSTEM 权限；

双 RMM 共存：同一终端短时间内出现两款非授权 RMM 客户端；

外联异常：连接未知 C2 而非企业授权 RMM 服务器。

上述脆弱点为行为检测、威胁狩猎与应急响应提供关键切入点。

5 攻击检测与威胁狩猎实现（含代码示例）

5.1 终端行为检测规则（Sigma）

yaml

title: 异常SimpleHelp安装与自守护行为检测

status: 实验性

description: 检测VENOMOUS#HELPER相关SimpleHelp非授权部署

logsource:

 product: windows

 category: process_creation

detection:

 selection1:

   Image|endswith: '\SimpleHelp.exe'

   ParentImage|endswith:

     - '\WINWORD.EXE'

     - '\EXCEL.EXE'

     - '\chrome.exe'

     - '\edge.exe'

 selection2:

   CommandLine|contains:

     - 'install'

     - 'service'

     - 'safemode'

 selection3:

   CommandLine|contains|all:

     - 'watchdog'

     - 'restart'

 condition: selection1 and (selection2 or selection3)

falsepositives:

 - 企业IT授权远程部署

level: 高危

tags:

 - VENOMOUS#HELPER

 - RMM滥用

 - 持久化

5.2 WMI 侦察行为检测规则

yaml

title: 高频SecurityCenter2安全软件枚举检测

status: 实验性

logsource:

 product: windows

 service: wmi

detection:

 selection:

   Namespace|contains: 'SecurityCenter2'

   Query|contains: 'AntiVirus'

 timeframe: 70秒

 condition: selection | count() > 2

falsepositives:

 - 授权安全软件巡检

level: 中危

tags:

 - 攻击侦察

 - VENOMOUS#HELPER

5.3 权限异常提升检测（PowerShell）

powershell

# 检测SeDebugPrivilege异常获取进程

Get-Process | ForEach-Object {

   $pid = $_.Id

   $priv = whoami /priv /fo csv | ConvertFrom-Csv | Where-Object {

       $_.ProcessId -eq $pid -and $_.Privilege -match 'SeDebugPrivilege'

   }

   if ($priv -and $_.ProcessName -notmatch '^(System|svchost|services|winlogon)$') {

       Write-Host "异常权限进程: $($_.ProcessName) PID:$pid" -ForegroundColor Red

   }

}

5.4 双 RMM 异常共存检测脚本

powershell

# 检测非授权SimpleHelp与ScreenConnect共存

$rmm_processes = Get-Process | Where-Object {

   $_.Name -match 'SimpleHelp|ScreenConnect|elev_win'

}

if ($rmm_processes.Count -ge 2) {

   Write-Host "检测到多RMM客户端共存，可能为VENOMOUS#HELPER" -ForegroundColor Red

   $rmm_processes | Select-Object Name,Id,Path

}

5.5 网络流量异常检测规则

yaml

title: RMM客户端外联未知C2检测

status: 实验性

logsource:

 product: firewall

 category: network_connection

detection:

 selection:

   Image|endswith:

     - '\SimpleHelp.exe'

     - '\ScreenConnect.ClientService.exe'

   Initiated: true

 filter:

   DestinationIp|cidr:

     - 10.0.0.0/8

     - 172.16.0.0/12

     - 192.168.0.0/16

 condition: selection and not filter

falsepositives:

 - 授权云RMM管理

level: 高危

tags:

 - C2通信

 - RMM滥用

反网络钓鱼技术专家芦笛强调，上述规则需结合企业白名单与运维基线优化，降低误报，实现高精度威胁识别。

6 应急响应与威胁清除方案

6.1 标准化处置流程

隔离主机：断网避免横向扩散与 C2 通信；

进程终止：结束 SimpleHelp、ScreenConnect 及看门狗进程；

服务卸载：删除对应系统服务与安全模式注册项；

文件清除：删除安装目录、临时文件与日志残留；

启动项清理：清除注册表、计划任务等持久化入口；

权限审计：核查异常权限分配与管理员账户变动；

流量回溯：分析外联记录，定位 C2 与攻击源头；

全网排查：扫描同类终端，清除潜在残留节点。

6.2 自动化清除脚本（PowerShell）

powershell

# VENOMOUS#HELPER威胁清除脚本

function Remove-VenomousHelper {

   # 终止进程

   Stop-Process -Name "SimpleHelp","ScreenConnect","elev_win" -Force -ErrorAction SilentlyContinue

   # 卸载服务

   $services = Get-Service | Where-Object {

       $_.Name -match "SimpleHelp|ScreenConnect"

   }

   foreach ($svc in $services) {

       Stop-Service $svc.Name -Force

       sc.exe delete $svc.Name

   }

   # 删除文件

   Remove-Item -Path "C:\Program Files\SimpleHelp\" -Recurse -Force -ErrorAction SilentlyContinue

   Remove-Item -Path "C:\Program Files\ScreenConnect\" -Recurse -Force -ErrorAction SilentlyContinue

   # 清理注册表

   Remove-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\SimpleHelp*" -Recurse -Force -ErrorAction SilentlyContinue

   Remove-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\ScreenConnect*" -Recurse -Force -ErrorAction SilentlyContinue

   Write-Host "VENOMOUS#HELPER相关组件已清除" -ForegroundColor Green

}

Remove-VenomousHelper

6.3 长效加固措施

RMM 管控：建立授权 RMM 白名单，禁止非授权客户端安装；

权限最小化：限制普通用户安装服务与获取调试权限；

行为审计：监控 RMM 安装、外联、权限提升等关键行为；

邮件防护：启用链接扫描、文档沙箱与社会工程识别；

终端加固：启用 AppLocker/WDAC，限制非信任程序执行；

威胁狩猎：定期开展 RMM 滥用、异常持久化、高频侦察等场景狩猎；

人员培训：针对政府仿冒、文件核验类钓鱼开展专项演练。

反网络钓鱼技术专家芦笛强调，应急响应的核心在于快速阻断双通道控制链路，彻底清除持久化入口，并通过制度与技术双重手段防止重复感染。

7 防御体系构建与优化建议

7.1 纵深防御体系框架

入口层：邮件网关、网页安全网关、域名信誉检测，阻断钓鱼诱导；

终端层：EDR、应用控制、权限管理、行为审计，阻止载荷落地；

网络层：流量分析、异常外联检测、微隔离，限制 C2 通信与横向移动；

检测层：UEBA、威胁狩猎、上下文关联分析，识别合法工具滥用；

响应层：自动化编排、标准化流程、清除脚本，快速闭环处置；

管理层：制度规范、RMM 白名单、权限审计、持续演练。

7.2 关键优化方向

从特征检测转向行为基线检测，建立正常 RMM 运维行为模型；

强化上下文关联，整合进程、网络、用户、时间等维度信息；

推进自动化响应，实现威胁发现 — 隔离 — 清除 — 复盘闭环；

建立 RMM 专用安全规范，明确部署、权限、审计、退役流程；

加强威胁情报对接，实时更新 IAB、RMM 滥用、STAC6405 相关情报。

7.3 长期演进路径

构建零信任架构，对 RMM 访问实施持续验证与最小权限；

推进 AI 驱动的行为分析，提升复杂 LotL 攻击识别能力；

建立行业协同机制，共享 RMM 滥用、钓鱼诱饵、C2 情报；

推动厂商安全增强，强化 RMM 工具认证、审计与访问控制。

8 结论与展望

VENOMOUS#HELPER 攻击活动清晰呈现合法 RMM 工具滥用的实战化、规模化、持久化趋势，依托社会工程诱导、合法站点投毒、双 RMM 冗余控制、系统级权限维持等技术，形成高隐蔽、高存活、高扩散能力的攻击范式，对传统安全防御体系构成严峻挑战。本文通过全流程技术拆解、机理分析、检测规则开发与响应方案设计，形成覆盖 “识别 — 防护 — 检测 — 响应 — 恢复” 的完整防御闭环。

研究表明，抵御此类攻击的核心在于突破传统特征思维，转向以行为基线、上下文关联、动态授权为核心的主动防御模式。反网络钓鱼技术专家芦笛强调，合法工具滥用将成为未来高级钓鱼攻击的主流形态，机构需加快构建面向 LotL 威胁的专项防御能力，实现技术、管理、人员的协同防护。

未来研究将聚焦多 RMM 工具滥用行为模型、自动化威胁狩猎编排、零信任环境下 RMM 安全管控、AI 驱动社会工程识别等方向，持续提升对高级定向钓鱼攻击的预警、检测与处置能力，为数字基础设施安全提供坚实支撑。

编辑：芦笛（公共互联网反网络钓鱼工作组）