Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Prometei est un botnet lié à la Russie qui compromet les serveurs Windows, installe un service persistant, vole des identifiants, mine du Monero et renforce l’hôte pour bloquer les intrus concurrents. Il utilise le chiffrement XOR et RC4 personnalisés, communique via HTTP en clair et Tor, et récupère des modules supplémentaires via une archive 7-zip en plusieurs étapes. Le malware s’appuie sur des utilitaires Windows légitimes pour la collecte et la persistance.
Enquête
L’unité de réponse aux menaces eSentire a trouvé l’infection sur un serveur Windows dans le secteur de la construction en janvier 2026. Une chaîne de commandes malveillantes a créé un fichier de clé XOR, téléchargé une charge utile en Base64, l’a décryptée avec une routine XOR en continu, et a installé le service UPlugPlay. Les valeurs de registre ont stocké les identifiants de l’hôte et les clés chiffrées, tandis que le trafic sortant HTTP GET transportait des détails système chiffrés. Les téléchargements en plusieurs étapes ont également décompressé des composants supplémentaires utilisés pour le minage.
Atténuation
Appliquez des mots de passe RDP forts et uniques, activez l’AMF, désactivez les services distants inutiles et appliquez des politiques de verrouillage de compte. Utilisez AppLocker ou WDAC pour restreindre l’abus de LOLBin et bloquer l’exécution d’outils non approuvés. Déployez Windows Defender ou un AV de nouvelle génération avec des signatures adaptées, et assurez-vous que les règles de pare-feu ne peuvent pas être modifiées pour permettre un accès entrant non autorisé.
Réponse
Isolez l’hôte, terminez UPlugPlay, supprimez les fichiers et les clés de registre associés, et réinitialisez les identifiants compromis. Scannez pour d’autres systèmes infectés, bloquez les IP/domaines C2 identifiés, et surveillez les modèles de création de processus répétitifs ou les changements suspects de règles de pare-feu.
graph TB %% Définitions des classes classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc %% Définitions des nœuds initial_access[« <b>Action</b> – <b>T1021.001 Services à distance: Remote Desktop Protocol</b><br/>Identifiants RDP compromis utilisés pour se connecter à Windows Server »] class initial_access action tool_cmd[« <b>Outil</b> – <b>Nom</b>: cmd.exe<br/><b>Description</b>: Invite de commandes Windows »] class tool_cmd tool malware_xor_key[« <b>Logiciel malveillant</b> – <b>Fichier</b>: C:\\Windows\\mshlpda32.dll<br/><b>But</b>: Stocke la clé XOR écrite via cmd »] class malware_xor_key malware tool_powershell[« <b>Outil</b> – <b>Nom</b>: PowerShell<br/><b>Description</b>: Exécute des scripts et décode la charge utile base64-XOR »] class tool_powershell tool malware_zsvc[« <b>Logiciel malveillant</b> – <b>Fichier</b>: C:\\Windows\\zsvc.exe<br/><b>But</b>: Charge utile décryptée écrite et démarrée »] class malware_zsvc malware malware_sqhost[« <b>Logiciel malveillant</b> – <b>Fichier</b>: C:\\Windows\\sqhost.exe<br/><b>But</b>: Charge copiée pour exécution en service »] class malware_sqhost malware service_node[« <b>Action</b> – <b>T1569.002 Services système: Exécution de service</b><br/>Service Windows ‘UPlugPlay’ créé et configuré pour démarrage automatique »] class service_node action firewall_rule[« <b>Action</b> – <b>T1562.004 Affaiblir les défenses: Désactiver ou modifier le pare-feu</b><br/>Règle entrante ajoutée pour sqhost.exe et WinRM désactivé »] class firewall_rule action defender_exclusion[« <b>Action</b> – <b>T1564.012 Masquer les artefacts: Exclusions fichier/chemin</b><br/>Exclusion Microsoft Defender ajoutée pour C:\\Windows\\dell »] class defender_exclusion action tool_mimikatz[« <b>Outil</b> – <b>Nom</b>: Mimikatz (miWalk32/miWalk64)<br/><b>Description</b>: Récupère les identifiants dans LSA Secrets »] class tool_mimikatz tool credential_dump[« <b>Action</b> – <b>T1003.004 Dump de credentials OS: LSA Secrets</b><br/>Binaires Mimikatz déployés pour voler les identifiants »] class credential_dump action discovery[« <b>Action</b> – <b>T1016 Découverte de la configuration réseau système</b><br/>Nom d’hôte, domaine et configuration IP collectés »] class discovery action archive[« <b>Action</b> – <b>T1560.003 Archivage via méthode personnalisée</b><br/>Données compressées avec LZNT1 avant exfiltration »] class archive action obfuscation[« <b>Action</b> – <b>T1027.015 Fichiers ou informations obfusqués: Compression</b><br/>Utilisation de compression LZNT1, chiffrement RC4 et double base64 »] class obfuscation action c2_web[« <b>Action</b> – <b>T1102.002 Service Web: Communication bidirectionnelle</b><br/>HTTP GET/POST avec paramètres i r add h enckey answ »] class c2_web action c2_http[« <b>Action</b> – <b>T1071.001 Protocole couche application: Protocoles Web</b><br/>Trafic HTTP sur le clearweb et TOR »] class c2_http action c2_tor_proxy[« <b>Action</b> – <b>T1090 Proxy</b><br/>Trafic C2 routé via un service caché TOR »] class c2_tor_proxy action c2_multi_hop[« <b>Action</b> – <b>T1090.003 Proxy: Proxy multi-hop</b><br/>Réseau TOR utilisé pour anonymat multi-sauts »] class c2_multi_hop action lateral_movement[« <b>Action</b> – <b>T1021 Services à distance</b><br/>rdpcIip.exe téléchargé pour protection contre brute-force RDP et déplacement latéral potentiel »] class lateral_movement action tool_rdpcIip[« <b>Outil</b> – <b>Nom</b>: rdpcIip.exe<br/><b>Description</b>: Surveille les échecs RDP et met à jour les règles du pare-feu »] class tool_rdpcIip tool netdefender[« <b>Action</b> – <b>T1562.004 Affaiblir les défenses: Désactiver ou modifier le pare-feu</b><br/>Surveille l’événement ID 4625 et ajoute des blocages firewall pour IP brute-force »] class netdefender action %% Connexions initial_access –>|executes| tool_cmd tool_cmd –>|writes| malware_xor_key initial_access –>|executes| tool_powershell tool_powershell –>|downloads_and_decrypts| malware_zsvc malware_zsvc –>|copies_to| malware_sqhost malware_sqhost –>|installs| service_node service_node –>|creates| firewall_rule service_node –>|adds_exclusion| defender_exclusion service_node –>|spawns| credential_dump credential_dump –>|uses| tool_mimikatz credential_dump –>|collects| discovery discovery –>|archives| archive archive –>|obfuscates| obfuscation obfuscation –>|sent_via| c2_web c2_web –>|communicates_via| c2_http c2_http –>|routed_through| c2_tor_proxy c2_tor_proxy –>|provides| c2_multi_hop c2_multi_hop –>|supports| lateral_movement lateral_movement –>|uses| tool_rdpcIip tool_rdpcIip –>|adds| netdefender
Flux d’attaque
Détections
Téléchargement ou téléchargement via Powershell (via cmdline)
Voir
Exécution d’un logiciel d’archivage via un interpréteur de commandes et scripts (via la création de processus)
Voir
Modification suspecte des exclusions de Defender (via cmdline)
Voir
Indicateurs possibles d’obscurcissement PowerShell (via powershell)
Voir
Appel de méthodes .NET suspectes à partir de PowerShell (via powershell)
Voir
Chaînes PowerShell suspectes (via cmdline)
Voir
Possibilité d’énumération système (via cmdline)
Voir
IOCs (DestinationIP) à détecter : Locataire de l’enfer : séjour non autorisé de Prometei dans votre serveur Windows
Voir
IOCs (HashSha256) à détecter : Locataire de l’enfer : séjour non autorisé de Prometei dans votre serveur Windows
Voir
IOCs (SourceIP) à détecter : Locataire de l’enfer : séjour non autorisé de Prometei dans votre serveur Windows
Voir
Détection de l’exécution de la charge utile Prometei et de l’évasion Windows Defender [Windows Powershell]
Voir
Détection de la communication C2 de Prometei via HTTP [Connexion réseau Windows]
Voir
Collecte d’informations système Prometei [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : La vérification préalable à la télémétrie et à la ligne de base doit avoir passé.
Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narration d’attaque & Commandes :
L’adversaire a obtenu une exécution de code à distance sur l’hôte victime et souhaite collecter des détails matériels de bas niveau et de version OS pour l’inventaire et l’adaptation future de la charge utile. Pour rester ‘vivant des ressources locales’, l’acteur utilise des utilitaires Windows intégrés qui sont peu susceptibles d’être bloqués :- Interroger la version OS –
cmd.exe /c ver(chaîne de version classique). - Récupérer le fabricant de la carte mère –
wmic baseboard get Manufacturer. - Collecter le modèle d’ordinateur –
wmic ComputerSystem get Model.
Ces commandes sont exécutées séquentiellement dans un seul script PowerShell pour imiter un module post-exploitation réaliste. Chaque commande produit un événement de création de processus distinct qui corresponde aux conditions de la règle Sigma.
- Interroger la version OS –
-
Script de test de régression :
# Simulation d'empreinte système à la Prometei # ------------------------------------------------ # 1. Version OS cmd.exe /c ver # 2. Fabricant de la carte mère wmic baseboard get Manufacturer # 3. Modèle d'ordinateur wmic ComputerSystem get Model -
Commandes de nettoyage :
# Supprimer les journaux d'événements générés à partir de la machine de test locale (optionnel) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Fin du rapport