RMM观察与初探
RMM观察与初探
工作&毕设准备做的事情,最基本的信息收集还是要有的
介绍
先看看ChatGPT怎么说;
RMM(远程监控和管理)是一种技术平台,旨在帮助IT服务提供商(MSP)远程监控和管理客户端的设备、网络和计算机。RMM可以帮助MSP深入了解客户网络,提供机器维护和更新,并主动解决问题,而无需亲自到客户的办公室。RMM的主要功能包括收集客户端信息、提供活动报告和数据、创建警报和门票(这里说的应该是票据)、跟踪网络和设备健康状况、同时监控多个端点和客户端,以及自动化计划维护任务[1]。
RMM的历史可以追溯到20世纪90年代初期,当时第一个标准网络管理工具与简单网络管理协议(SNMP)一起被广泛使用。随着技术的发展,RMM技术逐渐成熟,使得中小型企业和MSP能够利用类似于大型公司的管理服务[1]。
使用RMM的好处包括:
- 中小企业可以享受企业级自动化和监控的好处。
- 可在问题成为重大问题之前检测出来,避免系统故障。
- IT服务提供商可以减少站点访问和相关成本。
- 客户每月支付固定费用以保持其IT系统正常运行。
- 通过主动维护实现最佳网络稳定性。
- 终端用户可以享受更长的正常运行时间,而不会在服务期间受到干扰。
- 设备的寿命可以通过改进的性能得到延长。
- 增加技术人员和最终用户的生产力。
- 允许MSP扩展并提供真正的24x7x365覆盖范围[1]。
RMM服务通常以每月重复收入模型定价,根据所包括的设备和服务的数量进行分层包装。MSP还需要确定是采用“每个设备”还是“每用户”定价结构,以适应不同客户的需求[1]。
通俗的话讲,就是网管+运维。有了RMM后,一些只能线下处理的活就可以在线用平台处理。
那么,问题来了
1.为什么不是Windows域控?
很明显,RMM能干的事情,Windows域控也能干。某种程度上来说,Windows域控可能更加强大(Kerberos认证实现同一个账户登录不同电脑)。实际上,一些RMM平台(比如Atera)也把Windows域控集成进去了。但RMM并不局限于Windows平台,还需要支持Linux和MacOS,其应用范围要远大于Windows域控。
2.这东西怎么看起来跟红队C2 Server/堡垒机那么像
做过内网渗透的一定不会对Cobalt Strike和Metasploit感到陌生😂就本质而言,RMM和红队C2 Server都需要在目标机器上安装Agents(客户端)实现对机器的操纵,都需要高系统权限,都有可能会被杀毒软件报毒处理。我认为,两者的技术是共通的,但C2的侧重点强调如何入侵,而RMM则要确保服务的稳定性与高性能。
插入一个题外话
当时我只是想完善一下手上的C2 Server,搜相关开发资料的时候意外的导到了一个做远程桌面的项目😮,而那个项目组正好在招人,本着多投一个不亏的想法,给该项目组发去了简历,没想到当天就回复了。
周末加急赶了一个Demo后成功进组😘
(至于是什么项目,以后有机会再说)
只能说:缘,妙不可言
由于本人没用过堡垒机,所以真的说不上堡垒机和RMM的差异。
但如果按照开源的堡垒机JumpServer的介绍,那么堡垒机应该是RMM的超集:提供RMM有的资产管理的同时,还兼具更高规格的安全审查。唯一可能有差异的地方,在于RMM的管理颗粒度更低。
3.似乎中国大陆区对RMM不太感冒?
个人感觉是这样的。在百度上搜索”Atera“(一个RMM公司),首屏大部分内容的都是关于Altera(芯片公司)的内容
而每年HW,听到最多的也是“XX堡垒机有漏洞被攻陷”,“黑入域控拿下内网”,很少听见RMM被搞事情的情况出现在复盘案例里。
而网上搜索RMM中国区的调研报告,清一色的国外产品,国内搞信创的又有新的轮子可以造了😛
个人不太看好其在国内的应:
小公司:人手一台个人笔记本就开干,不需要RMM
老国企:全是Windows域控,不需要RMM
新兴企业:统统上云,云厂商的面板足矣
学校:基本都是集采iDste的设备,硬件+软件一站式服务,不可能用开源产品
综上所述,中国大陆区确实对RMM不太感冒
但这并不影响我造轮子的热情🤪毕竟可以拿来做毕设
市面上的产品
Atera
不开源,但提供试用,宣传界面看起来不错
相关介绍视频:
TacticalRMM
一个开源的RMM产品,使用Django,Vue和Go编写
项目地址:https://github.com/amidaware/tacticalrmm
尝试部署了一下,感觉安装体验不佳。2023年了,居然还不提供官方的Docker支持。安装脚本还仅支持Debain系,找了台Ubuntu Server的虚拟机安装也没有一遍安装成功,脚本安装Django的时候老是失败。碰到这种情况我一般是没什么耐心的。好在还有一个试用Demo可以看看功能和界面。
这界面谈不上多好看,但也满足了一个RMM应有的功能
且因为其开源的特性,比较方便学习和借鉴😁
这里摆上我对其功能的一个梳理文档(英文书写,慎入):
NinjaOne
不开源,注意到它,是因为他们家的RMM支持漏洞扫描
相关视频:
WebP 0-day: How to Identify Apps Vulnerable to CVE-2023-5129 with NinjaOne
结语
是一个值得尝试的项目
接下来几个月就要开始忙活了,大伙们可以期待下成果🤩