Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Prometei — це ботнет, пов’язаний з Росією, який компрометує Windows-сервери, встановлює постійну службу, краде облікові дані, майнить Monero і зміцнює хост, щоб блокувати конкурентів. Він використовує користувацьке шифрування XOR та RC4, спілкується через відкритий веб HTTP та Tor, а також отримує додаткові модулі через багатоступеневий 7-zip архів. Шкідливе програмне забезпечення використовує легітимні утиліти Windows для збору даних і забезпечення стійкості.
Розслідування
Підрозділ реагування на загрози eSentire виявив інфекцію на Windows-сервері будівельного сектора у січні 2026 року. Злоякісний ланцюг команд створив файл ключа XOR, завантажив Base64 корисне навантаження, дешифрував його за допомогою циклічної XOR-рутини та встановив службу UPlugPlay. Значення реєстру зберігали ідентифікатори хостів і зашифровані ключі, тоді як вихідний HTTP GET трафік передавав зашифровані системні деталі. Стадійні завантаження також розпаковували додаткові компоненти, що використовуються для майнінгу.
Пом’якшення
Використовуйте складні, унікальні паролі для RDP, увімкніть MFA, відключіть непотрібні віддалені служби і застосуйте політики блокування облікового запису. Використовуйте AppLocker або WDAC для обмеження зловживань LOLBin і блокування виконання недовірених інструментів. Розгорніть Windows Defender або антивірус наступного покоління з налаштованими підписи і переконайтеся, що правила брандмауера не можуть бути змінені для дозволу несанкціонованого вхідного доступу.
Реакція
Ізолюйте хост, припиніть UPlugPlay, видаліть пов’язані файли та ключі реєстру, і скиньте скомпрометовані облікові дані. Скануйте на наявність інших інфікованих систем, блокуйте виявлені C2 IP/домен і стежте за повторними шаблонами створення процесів або підозрілими змінами в правилах брандмауера.
graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc %% Визначення вузлів initial_access[“<b>Дія</b> – <b>T1021.001 Віддалені сервіси: Протокол віддаленого робочого столу</b><br/>Скомпрометовані облікові дані RDP використані для входу на Windows Server”] class initial_access action tool_cmd[“<b>Інструмент</b> – <b>Назва</b>: cmd.exe<br/><b>Опис</b>: Командний рядок Windows”] class tool_cmd tool malware_xor_key[“<b>Шкідливе ПЗ</b> – <b>Файл</b>: C:\\Windows\\mshlpda32.dll<br/><b>Призначення</b>: Зберігає ключ XOR, записаний через cmd”] class malware_xor_key malware tool_powershell[“<b>Інструмент</b> – <b>Назва</b>: PowerShell<br/><b>Опис</b>: Виконує скрипти та декодує base64-XOR payload”] class tool_powershell tool malware_zsvc[“<b>Шкідливе ПЗ</b> – <b>Файл</b>: C:\\Windows\\zsvc.exe<br/><b>Призначення</b>: Декодований payload записано та запущено”] class malware_zsvc malware malware_sqhost[“<b>Шкідливе ПЗ</b> – <b>Файл</b>: C:\\Windows\\sqhost.exe<br/><b>Призначення</b>: Скопійований payload для запуску як сервіс”] class malware_sqhost malware service_node[“<b>Дія</b> – <b>T1569.002 Системні сервіси: Виконання сервісу</b><br/>Створено службу Windows ‘UPlugPlay’ з автозапуском”] class service_node action firewall_rule[“<b>Дія</b> – <b>T1562.004 Пошкодження захисту: Вимкнення або модифікація системного брандмауера</b><br/>Додано вхідне правило для sqhost.exe та вимкнено WinRM”] class firewall_rule action defender_exclusion[“<b>Дія</b> – <b>T1564.012 Приховування артефактів: виключення файлів/шляхів</b><br/>Додано виключення Microsoft Defender для C:\\Windows\\dell”] class defender_exclusion action tool_mimikatz[“<b>Інструмент</b> – <b>Назва</b>: Mimikatz (miWalk32/miWalk64)<br/><b>Опис</b>: Збирає облікові дані з LSA Secrets”] class tool_mimikatz tool credential_dump[“<b>Дія</b> – <b>T1003.004 Витяг облікових даних ОС: LSA Secrets</b><br/>Розгорнуто Mimikatz для крадіжки облікових даних”] class credential_dump action discovery[“<b>Дія</b> – <b>T1016 Виявлення конфігурації мережі системи</b><br/>Зібрано ім’я хоста, домен та налаштування IP”] class discovery action archive[“<b>Дія</b> – <b>T1560.003 Архівування власним методом</b><br/>Дані стиснуто за допомогою LZNT1 перед ексфільтрацією”] class archive action obfuscation[“<b>Дія</b> – <b>T1027.015 Обфускація файлів або інформації: Стиснення</b><br/>Використано LZNT1, RC4 шифрування та подвійний base64”] class obfuscation action c2_web[“<b>Дія</b> – <b>T1102.002 Веб-сервіс: Двосторонній зв’язок</b><br/>HTTP GET/POST з параметрами i r add h enckey answ”] class c2_web action c2_http[“<b>Дія</b> – <b>T1071.001 Протокол прикладного рівня: веб-протоколи</b><br/>HTTP трафік через clearweb та TOR”] class c2_http action c2_tor_proxy[“<b>Дія</b> – <b>T1090 Проксі</b><br/>C2 трафік маршрутизовано через приховану службу TOR”] class c2_tor_proxy action c2_multi_hop[“<b>Дія</b> – <b>T1090.003 Проксі: Багатостадійний проксі</b><br/>Використання TOR для багатостадійної анонімності”] class c2_multi_hop action lateral_movement[“<b>Дія</b> – <b>T1021 Віддалені сервіси</b><br/>Завантажено rdpcIip.exe для захисту від RDP brute-force та можливого латерального переміщення”] class lateral_movement action tool_rdpcIip[“<b>Інструмент</b> – <b>Назва</b>: rdpcIip.exe<br/><b>Опис</b>: Моніторинг RDP помилок та оновлення правил брандмауера”] class tool_rdpcIip tool netdefender[“<b>Дія</b> – <b>T1562.004 Пошкодження захисту: Вимкнення або модифікація брандмауера</b><br/>Моніторинг події ID 4625 та блокування IP для brute-force”] class netdefender action %% З’єднання initial_access –>|executes| tool_cmd tool_cmd –>|writes| malware_xor_key initial_access –>|executes| tool_powershell tool_powershell –>|downloads_and_decrypts| malware_zsvc malware_zsvc –>|copies_to| malware_sqhost malware_sqhost –>|installs| service_node service_node –>|creates| firewall_rule service_node –>|adds_exclusion| defender_exclusion service_node –>|spawns| credential_dump credential_dump –>|uses| tool_mimikatz credential_dump –>|collects| discovery discovery –>|archives| archive archive –>|obfuscates| obfuscation obfuscation –>|sent_via| c2_web c2_web –>|communicates_via| c2_http c2_http –>|routed_through| c2_tor_proxy c2_tor_proxy –>|provides| c2_multi_hop c2_multi_hop –>|supports| lateral_movement lateral_movement –>|uses| tool_rdpcIip tool_rdpcIip –>|adds| netdefender
Потік атаки
Виявлення
Завантаження або Вивантаження через Powershell (через cmdline)
Переглянути
Виконання програмного забезпечення для архівування через Командний та Сценарний Інтерпретатор (через створення процесу)
Переглянути
Підозріле змінення виключень Defender (через cmdline)
Переглянути
Можливі індикатори обфускації Powershell (через powershell)
Переглянути
Виклик Підозрілих Методів .NET з Powershell (через powershell)
Переглянути
Підозрілі рядки Powershell (через cmdline)
Переглянути
Можливе перерахування системи (через cmdline)
Переглянути
ІОК (ЦільовийIP) для виявлення: Tenant from Hell: Незаконне перебування Prometei на вашому Windows сервері
Переглянути
ІОК (HashSha256) для виявлення: Tenant from Hell: Незаконне перебування Prometei на вашому Windows сервері
Переглянути
ІОК (ДжерелоIP) для виявлення: Tenant from Hell: Незаконне перебування Prometei на вашому Windows сервері
Переглянути
Виявлення виконання корисного навантаження Prometei та обходу Windows Defender [Windows Powershell]
Переглянути
Виявлення комунікації Prometei C2 через HTTP [Підключення до мережі Windows]
Переглянути
Збір системної інформації Prometei [Створення процесу в Windows]
Переглянути
Симуляція виконання
Передумова: Перевірка телеметрії та базового рівня повинна бути пройдена.
Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для спрацьовування правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати визначені TTP та прагнути створити саме ту телеметрію, яку очікує логіка виявлення.
-
Наратив атаки та команди:
Супротивник отримав віддалене виконання коду на хості жертви і хоче зібрати низькорівневі деталі апаратного забезпечення та версії ОС для інвентаризації та майбутнього налаштування корисного навантаження. Щоб залишитися “на борту”, актор використовує вбудовані в Windows утиліти, які навряд чи будуть заблоковані:- Запит версії ОС –
cmd.exe /c ver(класичний рядок версії). - Збір виробника материнської плати –
wmic baseboard get Manufacturer. - Збір моделі комп’ютера –
wmic ComputerSystem get Model.
Ці команди виконуються послідовно у одному скрипті PowerShell, щоб імітувати реалістичний модуль постексплуатації. Кожна команда створює унікальну подію створення процесу, яка відповідає умовам правила Sigma.
- Запит версії ОС –
-
Скрипт регресійного тестування:
# Імітація збиранія відбитків системи у стилі Prometei # ------------------------------------------------ # 1. Версія ОС cmd.exe /c ver # 2. Виробник материнської плати wmic baseboard get Manufacturer # 3. Модель комп'ютера wmic ComputerSystem get Model -
Команди очистки:
# Видалення згенерованих журналів подій з локальної тестової машини (опціонально) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Кінець звіту