Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Prometei ist ein mit Russland in Verbindung stehendes Botnetz, das Windows-Server kompromittiert, einen persistenten Dienst installiert, Anmeldeinformationen stiehlt, Monero schürft und den Host verstärkt, um konkurrierende Eindringlinge zu blockieren. Es nutzt benutzerdefinierte XOR- und RC4-Verschlüsselungen, kommuniziert über klares HTTP und Tor und ruft zusätzliche Module über ein gestaffeltes 7-Zip-Archiv ab. Die Malware verlässt sich auf legitime Windows-Dienstprogramme für Sammlung und Persistenz.
Untersuchung
Die eSentire Threat Response Unit entdeckte die Infektion auf einem Windows-Server im Bausektor im Januar 2026. Eine bösartige Befehlsfolge erstellte eine XOR-Schlüsseldatei, lud eine Base64-Nutzlast herunter, entschlüsselte sie mit einer rollenden XOR-Routine und installierte den UPlugPlay-Dienst. Registrierungswerte speicherten Host-Identifikatoren und verschlüsselte Schlüssel, während ausgehender HTTP-GET-Datenverkehr verschlüsselte Systemdetails übertrug. Gestaffelte Downloads packten auch zusätzliche Komponenten aus, die zum Mining verwendet wurden.
Abschwächung
Erzwingen Sie starke, eindeutige RDP-Passwörter, aktivieren Sie MFA, deaktivieren Sie unnötige Remote-Dienste und setzen Sie Kontosperrrichtlinien durch. Verwenden Sie AppLocker oder WDAC, um den Missbrauch von LOLBins einzuschränken und die Ausführung nicht vertrauenswürdiger Werkzeuge zu blockieren. Implementieren Sie Windows Defender oder ein Next-Gen-AV mit maßgeschneiderten Signaturen und stellen Sie sicher, dass Firewall-Regeln nicht geändert werden können, um unautorisierten eingehenden Zugriff zu erlauben.
Antwort
Isolieren Sie den Host, beenden Sie UPlugPlay, entfernen Sie zugehörige Dateien und Registrierungsschlüssel und setzen Sie kompromittierte Anmeldeinformationen zurück. Scannen Sie nach anderen infizierten Systemen, blockieren Sie identifizierte IPs/Domains von Befehls- und Steuerungsservern (C2) und überwachen Sie auf wiederholte Prozess-Erstellungsmuster oder verdächtige Änderungen an Firewall-Regeln.
graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc %% Knoten-Definitionen initial_access[„<b>Aktion</b> – <b>T1021.001 Remote Services: Remote Desktop Protocol</b><br/>Komprimierte RDP-Anmeldedaten zur Anmeldung an Windows Server verwendet“] class initial_access action tool_cmd[„<b>Werkzeug</b> – <b>Name</b>: cmd.exe<br/><b>Beschreibung</b>: Windows-Befehlszeile“] class tool_cmd tool malware_xor_key[„<b>Malware</b> – <b>Datei</b>: C:\Windows\mshlpda32.dll<br/><b>Zweck</b>: Speichert XOR-Schlüssel, geschrieben über cmd“] class malware_xor_key malware tool_powershell[„<b>Werkzeug</b> – <b>Name</b>: PowerShell<br/><b>Beschreibung</b>: Führt Skripte aus und dekodiert base64-XOR-Payload“] class tool_powershell tool malware_zsvc[„<b>Malware</b> – <b>Datei</b>: C:\Windows\zsvc.exe<br/><b>Zweck</b>: Entschlüsselte Payload geschrieben und gestartet“] class malware_zsvc malware malware_sqhost[„<b>Malware</b> – <b>Datei</b>: C:\Windows\sqhost.exe<br/><b>Zweck</b>: Kopierte Payload für Dienstausführung“] class malware_sqhost malware service_node[„<b>Aktion</b> – <b>T1569.002 System Services: Service Execution</b><br/>Windows-Dienst ‚UPlugPlay‘ erstellt, auf Autostart gesetzt“] class service_node action firewall_rule[„<b>Aktion</b> – <b>T1562.004 Impair Defenses: Disable or Modify System Firewall</b><br/>Eingangsregel für sqhost.exe hinzugefügt und WinRM deaktiviert“] class firewall_rule action defender_exclusion[„<b>Aktion</b> – <b>T1564.012 Hide Artifacts: File/Path Exclusions</b><br/>Microsoft Defender-Ausnahme für C:\Windows\dell hinzugefügt“] class defender_exclusion action tool_mimikatz[„<b>Werkzeug</b> – <b>Name</b>: Mimikatz (miWalk32/miWalk64)<br/><b>Beschreibung</b>: Holt Anmeldeinformationen aus LSA Secrets“] class tool_mimikatz tool credential_dump[„<b>Aktion</b> – <b>T1003.004 OS Credential Dumping: LSA Secrets</b><br/>Mimikatz-Binärdateien bereitgestellt, um Anmeldeinformationen zu stehlen“] class credential_dump action discovery[„<b>Aktion</b> – <b>T1016 System Network Configuration Discovery</b><br/>Hostnamen, Domäne und IP-Konfiguration gesammelt“] class discovery action archive[„<b>Aktion</b> – <b>T1560.003 Archive via Custom Method</b><br/>Daten vor der Exfiltration mit LZNT1 komprimiert“] class archive action obfuscation[„<b>Aktion</b> – <b>T1027.015 Obfuscated Files or Information: Compression</b><br/>LZNT1-Kompression, RC4-Verschlüsselung und doppelte base64 verwendet“] class obfuscation action c2_web[„<b>Aktion</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/>HTTP GET/POST mit Parametern i r add h enckey answ“] class c2_web action c2_http[„<b>Aktion</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>HTTP-Verkehr über Clearweb und TOR“] class c2_http action c2_tor_proxy[„<b>Aktion</b> – <b>T1090 Proxy</b><br/>C2-Verkehr über TOR-Hidden-Service geleitet“] class c2_tor_proxy action c2_multi_hop[„<b>Aktion</b> – <b>T1090.003 Proxy: Multi-hop Proxy</b><br/>TOR-Netzwerk für Multi-Hop-Anonymität verwendet“] class c2_multi_hop action lateral_movement[„<b>Aktion</b> – <b>T1021 Remote Services</b><br/>rdpcIip.exe heruntergeladen für RDP-Brute-Force-Schutz und mögliche laterale Bewegung“] class lateral_movement action tool_rdpcIip[„<b>Werkzeug</b> – <b>Name</b>: rdpcIip.exe<br/><b>Beschreibung</b>: Überwacht RDP-Fehler und aktualisiert Firewall-Regeln“] class tool_rdpcIip tool netdefender[„<b>Aktion</b> – <b>T1562.004 Impair Defenses: Disable or Modify System Firewall</b><br/>Überwacht Event-ID 4625 und fügt Firewall-Sperren für Brute-Force-IPs hinzu“] class netdefender action %% Flussverbindungen initial_access –>|executes| tool_cmd tool_cmd –>|writes| malware_xor_key initial_access –>|executes| tool_powershell tool_powershell –>|downloads_and_decrypts| malware_zsvc malware_zsvc –>|copies_to| malware_sqhost malware_sqhost –>|installs| service_node service_node –>|creates| firewall_rule service_node –>|adds_exclusion| defender_exclusion service_node –>|spawns| credential_dump credential_dump –>|uses| tool_mimikatz credential_dump –>|collects| discovery discovery –>|archives| archive archive –>|obfuscates| obfuscation obfuscation –>|sent_via| c2_web c2_web –>|communicates_via| c2_http c2_http –>|routed_through| c2_tor_proxy c2_tor_proxy –>|provides| c2_multi_hop c2_multi_hop –>|supports| lateral_movement lateral_movement –>|uses| tool_rdpcIip tool_rdpcIip –>|adds| netdefender
Angriffsablauf
Erkennungen
Download oder Upload über Powershell (über cmdline)
Ansehen
Ausführung von Archivierungssoftware über Befehl und Skript-Interpreter (über Prozess_Erstellung)
Ansehen
Verdächtige Defender-Ausschluss-Änderung (über cmdline)
Ansehen
Mögliche Powershell-Verschleierungsindikatoren (über Powershell)
Ansehen
Rufe verdächtige .NET-Methoden aus Powershell auf (über Powershell)
Ansehen
Verdächtige Powershell-Strings (über cmdline)
Ansehen
Mögliche Systemaufzählung (über cmdline)
Ansehen
IOCs (DestinationIP) zum Erkennen: Tenant from Hell: Prometeis unbefugter Aufenthalt in Ihrem Windows-Server
Ansehen
IOCs (HashSha256) zum Erkennen: Tenant from Hell: Prometeis unbefugter Aufenthalt in Ihrem Windows-Server
Ansehen
IOCs (SourceIP) zum Erkennen: Tenant from Hell: Prometeis unbefugter Aufenthalt in Ihrem Windows-Server
Ansehen
Erkennung von Prometei-Nutzlast-Ausführung und Windows Defender-Umgehung [Windows Powershell]
Ansehen
Erkennung der Prometei C2-Kommunikation über HTTP [Windows-Netzwerkverbindung]
Ansehen
Prometei Systeminformationssammlung [Windows-Prozesserstellung]
Ansehen
Simulation Ausführung
Voraussetzung: Der Telemetrie- und Baseline-Vorflug-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffs-Narrative & Befehle:
Der Angreifer hat Remote-Code-Ausführung auf dem Opfer-Host erlangt und möchte Hardware- und Betriebssystemversionsdetails auf niedriger Ebene für Bestandsaufnahme und zukünftige Nutzlastanpassung sammeln. Um ‚Living-off-the-Land‘ zu bleiben, verwendet der Akteur eingebaute Windows-Dienstprogramme, die wahrscheinlich nicht blockiert werden:- Abfrage des Betriebssystemversion –
cmd.exe /c ver(klassische Versionszeichenfolge). - Hersteller der Hauptplatine ernten –
wmic baseboard get Manufacturer. - Computermodell sammeln –
wmic ComputerSystem get Model.
Diese Befehle werden in einem einzigen PowerShell-Skript der Reihe nach ausgeführt, um ein realistisches Post-Exploitation-Modul nachzubilden. Jeder Befehl erzeugt ein eigenes Prozess-Erstellungsereignis, das den Bedingungen der Sigma-Regel entspricht.
- Abfrage des Betriebssystemversion –
-
Regressionstest-Skript:
# Prometei-Art System-Fingerprinting-Simulation # ------------------------------------------------ # 1. Betriebssystemversion cmd.exe /c ver # 2. Hersteller der Hauptplatine wmic baseboard get Manufacturer # 3. Computermodell wmic ComputerSystem get Model -
Bereinigungsbefehle:
# Entfernen von generierten Ereignisprotokollen vom lokalen Testgerät (optional) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Ende des Berichts