SOC Prime Bias: Mittel

10 Feb 2026 14:38 UTC

Mieter aus der Hölle: Prometeis unbefugter Aufenthalt auf Ihrem Windows-Server

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Mieter aus der Hölle: Prometeis unbefugter Aufenthalt auf Ihrem Windows-Server
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Prometei ist ein mit Russland in Verbindung stehendes Botnetz, das Windows-Server kompromittiert, einen persistenten Dienst installiert, Anmeldeinformationen stiehlt, Monero schürft und den Host verstärkt, um konkurrierende Eindringlinge zu blockieren. Es nutzt benutzerdefinierte XOR- und RC4-Verschlüsselungen, kommuniziert über klares HTTP und Tor und ruft zusätzliche Module über ein gestaffeltes 7-Zip-Archiv ab. Die Malware verlässt sich auf legitime Windows-Dienstprogramme für Sammlung und Persistenz.

Untersuchung

Die eSentire Threat Response Unit entdeckte die Infektion auf einem Windows-Server im Bausektor im Januar 2026. Eine bösartige Befehlsfolge erstellte eine XOR-Schlüsseldatei, lud eine Base64-Nutzlast herunter, entschlüsselte sie mit einer rollenden XOR-Routine und installierte den UPlugPlay-Dienst. Registrierungswerte speicherten Host-Identifikatoren und verschlüsselte Schlüssel, während ausgehender HTTP-GET-Datenverkehr verschlüsselte Systemdetails übertrug. Gestaffelte Downloads packten auch zusätzliche Komponenten aus, die zum Mining verwendet wurden.

Abschwächung

Erzwingen Sie starke, eindeutige RDP-Passwörter, aktivieren Sie MFA, deaktivieren Sie unnötige Remote-Dienste und setzen Sie Kontosperrrichtlinien durch. Verwenden Sie AppLocker oder WDAC, um den Missbrauch von LOLBins einzuschränken und die Ausführung nicht vertrauenswürdiger Werkzeuge zu blockieren. Implementieren Sie Windows Defender oder ein Next-Gen-AV mit maßgeschneiderten Signaturen und stellen Sie sicher, dass Firewall-Regeln nicht geändert werden können, um unautorisierten eingehenden Zugriff zu erlauben.

Antwort

Isolieren Sie den Host, beenden Sie UPlugPlay, entfernen Sie zugehörige Dateien und Registrierungsschlüssel und setzen Sie kompromittierte Anmeldeinformationen zurück. Scannen Sie nach anderen infizierten Systemen, blockieren Sie identifizierte IPs/Domains von Befehls- und Steuerungsservern (C2) und überwachen Sie auf wiederholte Prozess-Erstellungsmuster oder verdächtige Änderungen an Firewall-Regeln.

Angriffsablauf

Erkennungen

Download oder Upload über Powershell (über cmdline)

SOC Prime Team
10. Februar 2026

Ausführung von Archivierungssoftware über Befehl und Skript-Interpreter (über Prozess_Erstellung)

SOC Prime Team
10. Februar 2026

Verdächtige Defender-Ausschluss-Änderung (über cmdline)

SOC Prime Team
10. Februar 2026

Mögliche Powershell-Verschleierungsindikatoren (über Powershell)

SOC Prime Team
10. Februar 2026

Rufe verdächtige .NET-Methoden aus Powershell auf (über Powershell)

SOC Prime Team
10. Februar 2026

Verdächtige Powershell-Strings (über cmdline)

SOC Prime Team
10. Februar 2026

Mögliche Systemaufzählung (über cmdline)

SOC Prime Team
10. Februar 2026

IOCs (DestinationIP) zum Erkennen: Tenant from Hell: Prometeis unbefugter Aufenthalt in Ihrem Windows-Server

SOC Prime AI-Regeln
10. Februar 2026

IOCs (HashSha256) zum Erkennen: Tenant from Hell: Prometeis unbefugter Aufenthalt in Ihrem Windows-Server

SOC Prime AI-Regeln
10. Februar 2026

IOCs (SourceIP) zum Erkennen: Tenant from Hell: Prometeis unbefugter Aufenthalt in Ihrem Windows-Server

SOC Prime AI-Regeln
10. Februar 2026

Erkennung von Prometei-Nutzlast-Ausführung und Windows Defender-Umgehung [Windows Powershell]

SOC Prime AI-Regeln
10. Februar 2026

Erkennung der Prometei C2-Kommunikation über HTTP [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
10. Februar 2026

Prometei Systeminformationssammlung [Windows-Prozesserstellung]

SOC Prime AI-Regeln
10. Februar 2026

Simulation Ausführung

Voraussetzung: Der Telemetrie- und Baseline-Vorflug-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffs-Narrative & Befehle:
    Der Angreifer hat Remote-Code-Ausführung auf dem Opfer-Host erlangt und möchte Hardware- und Betriebssystemversionsdetails auf niedriger Ebene für Bestandsaufnahme und zukünftige Nutzlastanpassung sammeln. Um ‚Living-off-the-Land‘ zu bleiben, verwendet der Akteur eingebaute Windows-Dienstprogramme, die wahrscheinlich nicht blockiert werden:

    1. Abfrage des Betriebssystemversioncmd.exe /c ver (klassische Versionszeichenfolge).
    2. Hersteller der Hauptplatine erntenwmic baseboard get Manufacturer.
    3. Computermodell sammelnwmic ComputerSystem get Model.

    Diese Befehle werden in einem einzigen PowerShell-Skript der Reihe nach ausgeführt, um ein realistisches Post-Exploitation-Modul nachzubilden. Jeder Befehl erzeugt ein eigenes Prozess-Erstellungsereignis, das den Bedingungen der Sigma-Regel entspricht.

  • Regressionstest-Skript:

    # Prometei-Art System-Fingerprinting-Simulation
    # ------------------------------------------------
    # 1. Betriebssystemversion
    cmd.exe /c ver
    
    # 2. Hersteller der Hauptplatine
    wmic baseboard get Manufacturer
    
    # 3. Computermodell
    wmic ComputerSystem get Model
  • Bereinigungsbefehle:

    # Entfernen von generierten Ereignisprotokollen vom lokalen Testgerät (optional)
    wevtutil cl Microsoft-Windows-Sysmon/Operational
    wevtutil cl Security

Ende des Berichts