Mieter aus der Hölle: Prometeis unbefugter Aufenthalt auf Ihrem Windows-Server
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Prometei ist ein mit Russland in Verbindung stehendes Botnetz, das Windows-Server kompromittiert, einen persistenten Dienst installiert, Anmeldeinformationen stiehlt, Monero schürft und den Host verstärkt, um konkurrierende Eindringlinge zu blockieren. Es nutzt benutzerdefinierte XOR- und RC4-Verschlüsselungen, kommuniziert über klares HTTP und Tor und ruft zusätzliche Module über ein gestaffeltes 7-Zip-Archiv ab. Die Malware verlässt sich auf legitime Windows-Dienstprogramme für Sammlung und Persistenz.
Untersuchung
Die eSentire Threat Response Unit entdeckte die Infektion auf einem Windows-Server im Bausektor im Januar 2026. Eine bösartige Befehlsfolge erstellte eine XOR-Schlüsseldatei, lud eine Base64-Nutzlast herunter, entschlüsselte sie mit einer rollenden XOR-Routine und installierte den UPlugPlay-Dienst. Registrierungswerte speicherten Host-Identifikatoren und verschlüsselte Schlüssel, während ausgehender HTTP-GET-Datenverkehr verschlüsselte Systemdetails übertrug. Gestaffelte Downloads packten auch zusätzliche Komponenten aus, die zum Mining verwendet wurden.
Abschwächung
Erzwingen Sie starke, eindeutige RDP-Passwörter, aktivieren Sie MFA, deaktivieren Sie unnötige Remote-Dienste und setzen Sie Kontosperrrichtlinien durch. Verwenden Sie AppLocker oder WDAC, um den Missbrauch von LOLBins einzuschränken und die Ausführung nicht vertrauenswürdiger Werkzeuge zu blockieren. Implementieren Sie Windows Defender oder ein Next-Gen-AV mit maßgeschneiderten Signaturen und stellen Sie sicher, dass Firewall-Regeln nicht geändert werden können, um unautorisierten eingehenden Zugriff zu erlauben.
Antwort
Isolieren Sie den Host, beenden Sie UPlugPlay, entfernen Sie zugehörige Dateien und Registrierungsschlüssel und setzen Sie kompromittierte Anmeldeinformationen zurück. Scannen Sie nach anderen infizierten Systemen, blockieren Sie identifizierte IPs/Domains von Befehls- und Steuerungsservern (C2) und überwachen Sie auf wiederholte Prozess-Erstellungsmuster oder verdächtige Änderungen an Firewall-Regeln.
Angriffsablauf
Erkennungen
Download oder Upload über Powershell (über cmdline)
Ansehen
Ausführung von Archivierungssoftware über Befehl und Skript-Interpreter (über Prozess_Erstellung)
Ansehen
Verdächtige Defender-Ausschluss-Änderung (über cmdline)
Ansehen
Mögliche Powershell-Verschleierungsindikatoren (über Powershell)
Ansehen
Rufe verdächtige .NET-Methoden aus Powershell auf (über Powershell)
Ansehen
Verdächtige Powershell-Strings (über cmdline)
Ansehen
Mögliche Systemaufzählung (über cmdline)
Ansehen
IOCs (DestinationIP) zum Erkennen: Tenant from Hell: Prometeis unbefugter Aufenthalt in Ihrem Windows-Server
Ansehen
IOCs (HashSha256) zum Erkennen: Tenant from Hell: Prometeis unbefugter Aufenthalt in Ihrem Windows-Server
Ansehen
IOCs (SourceIP) zum Erkennen: Tenant from Hell: Prometeis unbefugter Aufenthalt in Ihrem Windows-Server
Ansehen
Erkennung von Prometei-Nutzlast-Ausführung und Windows Defender-Umgehung [Windows Powershell]
Ansehen
Erkennung der Prometei C2-Kommunikation über HTTP [Windows-Netzwerkverbindung]
Ansehen
Prometei Systeminformationssammlung [Windows-Prozesserstellung]
Ansehen
Simulation Ausführung
Voraussetzung: Der Telemetrie- und Baseline-Vorflug-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffs-Narrative & Befehle:
Der Angreifer hat Remote-Code-Ausführung auf dem Opfer-Host erlangt und möchte Hardware- und Betriebssystemversionsdetails auf niedriger Ebene für Bestandsaufnahme und zukünftige Nutzlastanpassung sammeln. Um ‚Living-off-the-Land‘ zu bleiben, verwendet der Akteur eingebaute Windows-Dienstprogramme, die wahrscheinlich nicht blockiert werden:- Abfrage des Betriebssystemversion –
cmd.exe /c ver(klassische Versionszeichenfolge). - Hersteller der Hauptplatine ernten –
wmic baseboard get Manufacturer. - Computermodell sammeln –
wmic ComputerSystem get Model.
Diese Befehle werden in einem einzigen PowerShell-Skript der Reihe nach ausgeführt, um ein realistisches Post-Exploitation-Modul nachzubilden. Jeder Befehl erzeugt ein eigenes Prozess-Erstellungsereignis, das den Bedingungen der Sigma-Regel entspricht.
- Abfrage des Betriebssystemversion –
-
Regressionstest-Skript:
# Prometei-Art System-Fingerprinting-Simulation # ------------------------------------------------ # 1. Betriebssystemversion cmd.exe /c ver # 2. Hersteller der Hauptplatine wmic baseboard get Manufacturer # 3. Computermodell wmic ComputerSystem get Model -
Bereinigungsbefehle:
# Entfernen von generierten Ereignisprotokollen vom lokalen Testgerät (optional) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Ende des Berichts