Хакер использовал инструмент с GitHub для захода в корпоративную сеть через VPN

@itsec
#Техника#Интернет#Hi-Tech.Другое

Именно так в середине апреля произошла атака, в которой специалисты Huntress впервые заметили злоупотребление проектом Komari.

Проект с открытым кодом, написан на языке Go, развивается и имеет тысячи отметок на GitHub. Но в отличие от многих подобных решений, здесь не нужно ничего «дорабатывать» для атаки. Управление системой уже встроено по умолчанию, пишут в Securitylab.

После установки агент Komari открывает постоянное соединение с сервером управления и ждёт команды. Через него можно выполнять любые команды в системе, получить интерактивный доступ к командной строке или проверять доступность других узлов сети. Все функции включены сразу, без дополнительных настроек.

Атакующий не стал маскировать установку. Скрипт загрузки скачали напрямую из официального репозитория. Такой подход усложняет защиту: блокировка GitHub может нарушить работу легитимных процессов, поэтому подобный трафик редко фильтруют жёстко.

Попасть внутрь сети помог один VPN-сеанс с адреса, принадлежащего провайдеру виртуальных серверов в Нидерландах. После подключения злоумышленник применил утилиту smbexec из набора Impacket, чтобы выполнять команды удалённо. С её помощью включили удалённый рабочий стол и открыли нужный порт в брандмауэре.

Попытка извлечь данные из реестра системы привлекла внимание встроенной защиты Windows. Антивирус обнаружил подозрительную активность и заблокировал часть действий. После этого злоумышленник сменил тактику и сделал ставку на Komari как основной канал управления.

Агент закрепился в системе через службу Windows. Для этого применили утилиту NSSM, которая позволяет запускать любую программу как системную службу и автоматически перезапускать её. В результате Komari получил права SYSTEM и стал работать как постоянный канал связи с сервером атакующего.

После установки злоумышленник отключился от удалённого рабочего стола. Дальше ручной доступ уже не требовался. Управление машиной шло через зашифрованное соединение, которое внешне не отличалось от обычного HTTPS-трафика.

Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования
Анализ
×
Места
Рейтинг мест
494
494
Технологии
Рейтинг технологий
9
DaaS (Desktop as a Service)
Технологии
9