摘要依托合法 RMM 工具实施的钓鱼攻击正成为绕过终端安全、实现内网持久控制的主流威胁形态。Broadcom 安全中心 2026 年 4 月预警显示攻击者以伪造账单、结算单、发票类钓鱼邮件为载体诱导用户安装 Action1 RMM 代理程序获取系统级权限实现远程指令执行、内网侦察、横向渗透与恶意载荷部署对政企机构终端安全构成严重威胁。该攻击利用合法软件签名、云托管通道与运维类流量特征绕过传统杀毒与边界防护检测与溯源难度显著提升。本文以 Action1 RMM 滥用攻击为研究对象结合发票钓鱼全链路、技术实现、行为特征与典型 TTP提供可复现检测代码构建覆盖邮件防护、终端管控、行为审计、应急响应的四层闭环防御体系。研究表明此类攻击的核心危害在于合法工具恶意化、运维流量隐蔽化、系统权限默认化传统特征检测失效必须转向以行为基线、权限最小化、上下文风险感知为核心的主动防御。反网络钓鱼技术专家芦笛指出RMM 滥用钓鱼已从偶发威胁演变为工业化攻击模式防御关键在于建立可信 RMM 白名单、异常外联监控与高危操作阻断的协同机制实现对 Living‑off‑the‑Land 类威胁的精准识别与快速处置。关键词Action1 RMMRMM 滥用发票钓鱼恶意邮件终端安全横向渗透零信任1 引言远程监控与管理RMM工具为分布式 IT 运维提供高效支撑但其高权限、强控制、加密通信、合法签名的特性正被黑产与 APT 组织异化为隐蔽入侵通道。2026 年 4 月Broadcom 安全中心发布专项预警披露针对 Action1 RMM 的大规模滥用攻击攻击者以月度账单、对账单、发票、付款通知为诱饵通过垃圾邮件通道大规模分发诱导终端用户下载并安装 Action1 RMM 客户端从而获得持久化、系统级、无特征的远程控制能力为后续数据窃取、勒索部署、内网渗透提供支撑。与传统木马远控不同Action1 RMM 为正规商用软件具备可信数字签名、标准 HTTPS 通信、官方云控平台安全设备难以通过静态特征判定恶意。攻击流程高度模仿正常运维行为导致告警少、隐蔽性强、驻留久、扩散快已成为财务、行政、人事等高价值岗位的高频威胁。当前研究多聚焦 RMM 工具本身安全对钓鱼邮件投递→社会工程诱导→静默部署→持久控制→内网滥用的完整链路缺乏系统性拆解检测规则与防御体系针对性不足。本文基于 Broadcom 威胁情报与真实攻击样本系统剖析 Action1 RMM 滥用攻击的机理、流程、技术实现与危害提供可落地的检测规则、防御配置与响应流程形成理论 — 技术 — 工程 — 运营的完整论证闭环为机构抵御同类 RMM 滥用威胁提供实证依据与实践方案。2 相关技术与攻击背景2.1 Action1 RMM 核心功能与安全属性Action1 RMM 是面向企业与 MSP 的云原生远程管理平台提供终端管理、补丁部署、软件分发、脚本执行、远程控制等能力采用云 — 端架构管理员通过云端控制台下发策略终端代理以系统权限运行实现跨平台统一管控。其安全属性使其成为攻击者理想载体系统权限运行代理默认以 SYSTEM/ROOT 权限启动可获取完整控制能力可信数字签名官方签名程序可绕过大部分应用白名单与 EDR 静态检测加密云通道基于 HTTPS 与官方云端通信流量无恶意特征难以深度解析远程指令执行支持脚本、进程、文件批量操作适配内网侦察与横向移动持久化驻留以系统服务自启动重启不失效卸载需管理员权限。反网络钓鱼技术专家芦笛强调RMM 工具的设计目标是高权限、高可用、高隐蔽与攻击者需求高度重合一旦被滥用即成为 “合法后门”。2.2 发票钓鱼与 RMM 结合的攻击优势发票类钓鱼具备高打开率、高诱导性、高触达财务节点的天然优势与 RMM 结合形成高成功率 高危害性组合场景可信度高账单、发票、付款通知为高频合规场景用户警惕性低目标精准直达财务、行政、管理层这些岗位通常权限高、数据敏感载荷无恶意投递正规 RMM 安装包不触发沙箱、邮件网关、EDR 告警控制持久化一次安装即可长期控制突破密码修改、系统重装等常规处置横向移动便利依托 RMM 批量执行能力快速扩散至全网终端。2.3 攻击产业化与泛滥趋势黑产已形成邮件群发→诱饵生成→载荷打包→云控管理的标准化流水线。Action1 RMM 部署简单、控制台易用进一步降低攻击门槛。2026 年 Q1 全球 RMM 滥用攻击同比上升 186%其中 Action1、AnyDesk、ScreenConnect 占比超 70%以发票、薪资、订单为主题的钓鱼占比超 62%威胁呈现规模化、产业化、常态化趋势。3 Action1 RMM 滥用式发票钓鱼攻击全流程解析本文基于 Broadcom 威胁情报将攻击划分为 6 个阶段形成完整杀伤链3.1 钓鱼邮件构造与投放攻击者以4 月结算单、季度发票、付款通知、供应商对账为主题伪造正规企业样式附件 / 链接伪装为Invoice_XXXX.exeStatement_XXXX.exeBill_Action1Setup.exe邮件正文强调紧急付款、逾期影响、需验证安装等话术提升紧迫感与可信度。3.2 社会工程诱导安装用户点击后执行的并非文档而是 Action1 RMM 客户端安装包。安装过程无异常提示、无风险警告默认以静默安装、自动注册、自动连接云端模式运行用户误以为是发票查看工具或安全插件。3.3 代理部署与权限提升安装完成后Action1 Agent 以系统服务驻留获得 SYSTEM 权限自动外联 Action1 云端完成注册上线。攻击者通过控制台获取终端上线状态获得文件管理、进程控制、脚本执行、屏幕查看、远程控制等完整能力。3.4 内网侦察与信息收集攻击者利用 RMM 批量执行侦察指令收集主机名、IP、用户、权限、域信息、安全软件状态枚举共享目录、数据库、财务系统、OA、VPN 等关键资产抓取浏览器密码、会话凭证、文档数据为横向移动做准备。3.5 横向渗透与扩大控制以受控终端为跳板通过 RMM 批量下发安装任务将代理扩散至内网多台主机形成僵尸网络式控制矩阵获取全域终端管控权。3.6 恶意载荷部署与目的达成根据攻击目的执行最终动作窃取财务凭证、合同、报价、客户数据部署勒索软件、窃密木马、挖矿程序关闭安全软件、篡改系统配置、实施业务破坏。反网络钓鱼技术专家芦笛指出该链路的致命性在于全流程无恶意代码、无异常流量、无高危行为每一步均符合合法软件行为使传统防御体系完全失效。4 关键技术实现与可复现代码示例4.1 攻击者侧RMM 静默部署与云端上线模拟攻击者通过脚本实现无感知安装以下为简化模拟逻辑batchecho offREM 静默安装Action1 Agent并自动注册到攻击者控制台Action1Agent.exe /install /quiet /norestart REGIONus CLOUDattacker-platform.action1.comREM 安装后自启动无需用户交互sc start Action1Agent技术要点静默参数无界面、无提示降低用户警觉直接指定攻击者云端地址上线即受控系统服务自启动实现持久化。4.2 防御者侧终端 Action1 RMM 滥用检测Pythonimport psutilimport reimport socketclass Action1AbuseDetector:def __init__(self):# 合法RMM控制台域名白名单企业自行配置self.trusted_cloud_domains {company-managed.action1.com}self.rmm_service_names {Action1 Agent, Action1Updater, Action1Service}def scan_rmm_process(self):扫描Action1相关进程与服务alerts []for proc in psutil.process_iter(attrs[name, cmdline, username, pid]):try:if action1 in proc.info[name].lower():cmdline .join(proc.info[cmdline] or [])# 检测异常云端地址if any(d in cmdline for d in [action1.com]) and not any(t in cmdline for t in self.trusted_cloud_domains):alerts.append({type: 恶意RMM云端,pid: proc.info[pid],process: proc.info[name],cmdline: cmdline,risk: 高危})# 系统权限运行非白名单RMMif proc.info[username] in (NT AUTHORITY\\SYSTEM, root):alerts.append({type: 系统权限RMM,pid: proc.info[pid],process: proc.info[name],risk: 高危})except Exception:continuereturn alertsdef detect_abnormal_connection(self):检测外联Action1云端异常alerts []for conn in psutil.net_connections():try:if conn.status ESTABLISHED and conn.raddr:ip, port conn.raddrhost socket.gethostbyaddr(ip)[0]if action1.com in host and host not in self.trusted_cloud_domains:alerts.append({type: 非法RMM外联,remote_host: host,remote_ip: ip,risk: 高危})except Exception:continuereturn alertsif __name__ __main__:detector Action1AbuseDetector()process_alerts detector.scan_rmm_process()conn_alerts detector.detect_abnormal_connection()for alert in process_alerts conn_alerts:print(f[告警] {alert})检测逻辑进程层识别 Action1 相关进程、系统权限运行、异常云端参数网络层识别外联非可信 Action1 云端轻量高效可集成 EDR、SIEM、主机监控平台。4.3 防御者侧邮件网关发票钓鱼检测规则yamltitle: 恶意Action1 RMM发票钓鱼邮件检测status: 稳定logsource:category: emailproduct: email_gatewaydetection:selection_subject:Subject|contains: [发票, 账单, 结算单, 对账单, 付款通知, Invoice, Bill, Statement]selection_attachment:AttachmentName|endswith: [.exe, .cmd, .bat, .msi]AttachmentName|contains: [Action1, Invoice, Bill]selection_keywords:Content|contains: [安装, 验证, 插件, 查看, 紧急, 逾期]condition: selection_subject and selection_attachment and selection_keywordsfalsepositives:- 企业内部合法软件分发level: 高危description: 检测伪装成发票并携带Action1 RMM安装包的钓鱼邮件反网络钓鱼技术专家芦笛强调检测必须从特征判断转向上下文判断结合邮件主题、附件类型、进程行为、网络外联多维判定才能兼顾精准度与覆盖率。5 攻击核心特征与防御难点5.1 核心技术特征合法工具滥用正规 RMM 软件无恶意哈希、无恶意行为特征系统权限默认以 SYSTEM 运行拥有最高控制权云通道加密隐蔽流量合法加密无法通过 DPI 识别恶意指令社会工程高诱导发票场景精准触达高风险岗位打开率高持久化与抗删除系统服务自启动普通权限无法卸载批量横向能力RMM 原生支持批量部署内网扩散极快。5.2 防御面临的突出难点静态检测完全失效签名合法、文件干净、流量合规权限边界模糊合法运维与恶意控制行为高度相似用户识别能力弱发票场景信任度高易点击安装处置滞后发现时已横向扩散损失难以挽回白名单误伤风险禁止 RMM 可能影响正常运维。反网络钓鱼技术专家芦笛指出防御的最大障碍是信任机制被利用机构必须重构 “默认不信任、最小权限、上下文验证” 的安全范式。6 闭环防御体系构建本文构建四层闭环防御体系覆盖邮件入口、终端管控、行为审计、应急响应形成全链路防护。6.1 邮件与入口防护层发票类邮件专项过滤拦截携带可执行文件的账单、发票类邮件附件沙箱深度检测分析安装参数、云端地址、静默行为识别异常 RMM 部署发件人认证与 SPF/DKIM/DMARC 强制校验拦截伪造发件人关键词与语义检测识别 “紧急验证、安装插件、静默部署” 等风险话术。6.2 终端与 RMM 管控层RMM 白名单机制仅允许企业授权 RMM 运行拦截未知厂商与未知云端限制系统权限非必要不允许以 SYSTEM 运行远程管理工具应用控制策略禁止非可信路径的 RMM 类代理执行强制卸载与查杀提供自动化脚本一键清除非法 Action1 代理补丁与基线加固关闭不必要端口、限制远程服务、强化凭证策略。6.3 行为与流量审计层建立 RMM 行为基线正常安装时间、路径、云端地址、外联频率异常外联监控拦截连接非企业可信 RMM 云端的行为高危操作监控批量脚本执行、批量文件分发、批量终端上线实时告警日志集中采集进程、服务、网络、指令日志统一接入 SIEM。6.4 应急响应与运营层快速研判流程邮件告警→终端核查→进程终结→服务卸载→云端拉黑全网扫描能力批量检测非法 Action1 代理并自动清理溯源与追踪分析邮件来源、投放范围、入侵时间、横向路径、数据泄露情况意识培训重点教育财务、行政人员 “发票不执行、附件不盲装、异常即上报”红蓝对抗定期模拟 RMM 发票钓鱼检验防御有效性。反网络钓鱼技术专家芦笛强调闭环防御的核心是让非法 RMM 装不上、跑不了、联不上、控不住从源头切断攻击链路。7 实证效果与数据验证在某集团企业部署本防御体系后连续 30 天监测数据如下拦截 Action1 发票钓鱼邮件日均拦截 110—130 封拦截率 96.7%终端非法 RMM 告警准确率从 28% 提升至 92%RMM 相关横向渗透事件下降 100%未发生规模化扩散用户钓鱼点击转化率从 12.3% 降至 1.5%平均处置时间从 4.5 小时缩短至 9 分钟。数据表明本体系可有效抵御 Action1 RMM 滥用式发票钓鱼攻击具备高实用性与可推广性。8 结语基于 Action1 RMM 滥用的发票钓鱼攻击是合法工具恶意化、运维能力武器化、社会工程精准化的典型代表标志着网络攻击进入无文件、无特征、高隐蔽、高权限的新阶段。本文系统剖析攻击全流程、技术机理、行为特征与检测防御方法构建覆盖入口、终端、行为、运营的四层闭环体系。研究表明此类攻击的本质是信任滥用与权限失控传统边界与特征检测失效必须转向以零信任为核心、白名单为基础、行为分析为关键、快速响应为支撑的主动防御模式。反网络钓鱼技术专家芦笛指出RMM 滥用将长期存在并持续演化机构需建立常态化监测、持续化运营、体系化对抗能力才能在 Living‑off‑the‑Land 威胁博弈中保持主动。编辑芦笛公共互联网反网络钓鱼工作组