- 26,622
- 46
- 8 Ноя 2022
Новая схема взлома корпоративных сетей, против которой сложно защититься.
Злоумышленникам больше не нужно писать сложные вредоносные программы с нуля. Иногда хватает взять готовый инструмент с GitHub и использовать его «как есть». Именно так в середине апреля произошла атака, в которой специалисты Huntress впервые заметили злоупотребление проектом Komari.
16 апреля 2026 года атакующий вошёл в корпоративную сеть через <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, используя украденные учётные данные . Дальше события развивались быстро и почти без лишнего шума. С одной машины внутри сети злоумышленник включил удалённый доступ по протоколу удалённого рабочего стола, подключился вручную и установил Komari, замаскировав службу под «Windows Update Service».
Komari выглядит как обычный инструмент мониторинга серверов. Проект с открытым кодом, написан на языке Go, активно развивается и имеет тысячи отметок на GitHub. Но в отличие от многих подобных решений, здесь не нужно ничего «дорабатывать» для атаки. Управление системой уже встроено по умолчанию.
После установки агент Komari открывает постоянное соединение с сервером управления и ждёт команды. Через него можно выполнять любые команды в системе, получить интерактивный доступ к командной строке или проверять доступность других узлов сети. Все функции включены сразу, без дополнительных настроек.
Атакующий не стал маскировать установку. Скрипт загрузки скачали напрямую из официального репозитория. Такой подход усложняет защиту: блокировка GitHub может нарушить работу легитимных процессов, поэтому подобный трафик редко фильтруют жёстко.
Попасть внутрь сети помог один VPN-сеанс с адреса, принадлежащего провайдеру виртуальных серверов в Нидерландах. После подключения злоумышленник применил утилиту smbexec из набора Impacket , чтобы выполнять команды удалённо. С её помощью включили удалённый рабочий стол и открыли нужный порт в брандмауэре.
Попытка извлечь данные из реестра системы привлекла внимание встроенной защиты Windows. Антивирус обнаружил подозрительную активность и заблокировал часть действий. После этого злоумышленник сменил тактику и сделал ставку на Komari как основной канал управления.
Агент закрепился в системе через службу Windows. Для этого применили утилиту NSSM, которая позволяет запускать любую программу как системную службу и автоматически перезапускать её. В результате Komari получил права SYSTEM и стал работать как постоянный канал связи с сервером атакующего.
После установки злоумышленник отключился от удалённого рабочего стола. Дальше ручной доступ уже не требовался. Управление машиной шло через зашифрованное соединение, которое внешне не отличалось от обычного HTTPS-трафика.
Инцидент удалось быстро остановить. Скомпрометированную машину изолировали, учётную запись отключили, а соединение с сервером атакующего разорвали ещё до того, как тот начал выполнять команды через Komari. Благодаря этому удалось избежать дальнейшего распространения по сети и утечки данных.
Для защиты в таких ситуациях приходится смотреть не на название программы, а на поведение. Долгие исходящие соединения, неожиданный запуск командной строки или PowerShell без участия пользователя, новые системные службы с подозрительными параметрами – именно такие признаки помогают поймать подобные атаки. Сам проект Komari при этом не содержит вредоносного кода. Проблема в том, как легко его можно использовать не по назначению. Чем проще и удобнее инструмент для администратора, тем привлекательнее он становится для злоумышленника.
Злоумышленникам больше не нужно писать сложные вредоносные программы с нуля. Иногда хватает взять готовый инструмент с GitHub и использовать его «как есть». Именно так в середине апреля произошла атака, в которой специалисты Huntress впервые заметили злоупотребление проектом Komari.
16 апреля 2026 года атакующий вошёл в корпоративную сеть через <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, используя украденные учётные данные . Дальше события развивались быстро и почти без лишнего шума. С одной машины внутри сети злоумышленник включил удалённый доступ по протоколу удалённого рабочего стола, подключился вручную и установил Komari, замаскировав службу под «Windows Update Service».
Komari выглядит как обычный инструмент мониторинга серверов. Проект с открытым кодом, написан на языке Go, активно развивается и имеет тысячи отметок на GitHub. Но в отличие от многих подобных решений, здесь не нужно ничего «дорабатывать» для атаки. Управление системой уже встроено по умолчанию.
После установки агент Komari открывает постоянное соединение с сервером управления и ждёт команды. Через него можно выполнять любые команды в системе, получить интерактивный доступ к командной строке или проверять доступность других узлов сети. Все функции включены сразу, без дополнительных настроек.
Атакующий не стал маскировать установку. Скрипт загрузки скачали напрямую из официального репозитория. Такой подход усложняет защиту: блокировка GitHub может нарушить работу легитимных процессов, поэтому подобный трафик редко фильтруют жёстко.
Попасть внутрь сети помог один VPN-сеанс с адреса, принадлежащего провайдеру виртуальных серверов в Нидерландах. После подключения злоумышленник применил утилиту smbexec из набора Impacket , чтобы выполнять команды удалённо. С её помощью включили удалённый рабочий стол и открыли нужный порт в брандмауэре.
Попытка извлечь данные из реестра системы привлекла внимание встроенной защиты Windows. Антивирус обнаружил подозрительную активность и заблокировал часть действий. После этого злоумышленник сменил тактику и сделал ставку на Komari как основной канал управления.
Агент закрепился в системе через службу Windows. Для этого применили утилиту NSSM, которая позволяет запускать любую программу как системную службу и автоматически перезапускать её. В результате Komari получил права SYSTEM и стал работать как постоянный канал связи с сервером атакующего.
После установки злоумышленник отключился от удалённого рабочего стола. Дальше ручной доступ уже не требовался. Управление машиной шло через зашифрованное соединение, которое внешне не отличалось от обычного HTTPS-трафика.
Инцидент удалось быстро остановить. Скомпрометированную машину изолировали, учётную запись отключили, а соединение с сервером атакующего разорвали ещё до того, как тот начал выполнять команды через Komari. Благодаря этому удалось избежать дальнейшего распространения по сети и утечки данных.
Для защиты в таких ситуациях приходится смотреть не на название программы, а на поведение. Долгие исходящие соединения, неожиданный запуск командной строки или PowerShell без участия пользователя, новые системные службы с подозрительными параметрами – именно такие признаки помогают поймать подобные атаки. Сам проект Komari при этом не содержит вредоносного кода. Проблема в том, как легко его можно использовать не по назначению. Чем проще и удобнее инструмент для администратора, тем привлекательнее он становится для злоумышленника.
- Источник новости
- www.securitylab.ru
