SOC Prime Bias: Moyen

10 Feb 2026 14:38 UTC

Un locataire infernal : la présence non autorisée de Prometei sur votre serveur Windows

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Un locataire infernal : la présence non autorisée de Prometei sur votre serveur Windows
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Prometei est un botnet lié à la Russie qui compromet les serveurs Windows, installe un service persistant, vole des identifiants, mine du Monero et renforce l’hôte pour bloquer les intrus concurrents. Il utilise le chiffrement XOR et RC4 personnalisés, communique via HTTP en clair et Tor, et récupère des modules supplémentaires via une archive 7-zip en plusieurs étapes. Le malware s’appuie sur des utilitaires Windows légitimes pour la collecte et la persistance.

Enquête

L’unité de réponse aux menaces eSentire a trouvé l’infection sur un serveur Windows dans le secteur de la construction en janvier 2026. Une chaîne de commandes malveillantes a créé un fichier de clé XOR, téléchargé une charge utile en Base64, l’a décryptée avec une routine XOR en continu, et a installé le service UPlugPlay. Les valeurs de registre ont stocké les identifiants de l’hôte et les clés chiffrées, tandis que le trafic sortant HTTP GET transportait des détails système chiffrés. Les téléchargements en plusieurs étapes ont également décompressé des composants supplémentaires utilisés pour le minage.

Atténuation

Appliquez des mots de passe RDP forts et uniques, activez l’AMF, désactivez les services distants inutiles et appliquez des politiques de verrouillage de compte. Utilisez AppLocker ou WDAC pour restreindre l’abus de LOLBin et bloquer l’exécution d’outils non approuvés. Déployez Windows Defender ou un AV de nouvelle génération avec des signatures adaptées, et assurez-vous que les règles de pare-feu ne peuvent pas être modifiées pour permettre un accès entrant non autorisé.

Réponse

Isolez l’hôte, terminez UPlugPlay, supprimez les fichiers et les clés de registre associés, et réinitialisez les identifiants compromis. Scannez pour d’autres systèmes infectés, bloquez les IP/domaines C2 identifiés, et surveillez les modèles de création de processus répétitifs ou les changements suspects de règles de pare-feu.

Flux d’attaque

Détections

Téléchargement ou téléchargement via Powershell (via cmdline)

Équipe SOC Prime
10 février 2026

Exécution d’un logiciel d’archivage via un interpréteur de commandes et scripts (via la création de processus)

Équipe SOC Prime
10 février 2026

Modification suspecte des exclusions de Defender (via cmdline)

Équipe SOC Prime
10 février 2026

Indicateurs possibles d’obscurcissement PowerShell (via powershell)

Équipe SOC Prime
10 février 2026

Appel de méthodes .NET suspectes à partir de PowerShell (via powershell)

Équipe SOC Prime
10 février 2026

Chaînes PowerShell suspectes (via cmdline)

Équipe SOC Prime
10 février 2026

Possibilité d’énumération système (via cmdline)

Équipe SOC Prime
10 février 2026

IOCs (DestinationIP) à détecter : Locataire de l’enfer : séjour non autorisé de Prometei dans votre serveur Windows

Règles SOC Prime AI
10 février 2026

IOCs (HashSha256) à détecter : Locataire de l’enfer : séjour non autorisé de Prometei dans votre serveur Windows

Règles SOC Prime AI
10 février 2026

IOCs (SourceIP) à détecter : Locataire de l’enfer : séjour non autorisé de Prometei dans votre serveur Windows

Règles SOC Prime AI
10 février 2026

Détection de l’exécution de la charge utile Prometei et de l’évasion Windows Defender [Windows Powershell]

Règles SOC Prime AI
10 février 2026

Détection de la communication C2 de Prometei via HTTP [Connexion réseau Windows]

Règles SOC Prime AI
10 février 2026

Collecte d’informations système Prometei [Création de processus Windows]

Règles SOC Prime AI
10 février 2026

Exécution de simulation

Prérequis : La vérification préalable à la télémétrie et à la ligne de base doit avoir passé.

Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narration d’attaque & Commandes :
    L’adversaire a obtenu une exécution de code à distance sur l’hôte victime et souhaite collecter des détails matériels de bas niveau et de version OS pour l’inventaire et l’adaptation future de la charge utile. Pour rester ‘vivant des ressources locales’, l’acteur utilise des utilitaires Windows intégrés qui sont peu susceptibles d’être bloqués :

    1. Interroger la version OScmd.exe /c ver (chaîne de version classique).
    2. Récupérer le fabricant de la carte mèrewmic baseboard get Manufacturer.
    3. Collecter le modèle d’ordinateurwmic ComputerSystem get Model.

    Ces commandes sont exécutées séquentiellement dans un seul script PowerShell pour imiter un module post-exploitation réaliste. Chaque commande produit un événement de création de processus distinct qui corresponde aux conditions de la règle Sigma.

  • Script de test de régression :

    # Simulation d'empreinte système à la Prometei
    # ------------------------------------------------
    # 1. Version OS
    cmd.exe /c ver
    
    # 2. Fabricant de la carte mère
    wmic baseboard get Manufacturer
    
    # 3. Modèle d'ordinateur
    wmic ComputerSystem get Model
  • Commandes de nettoyage :

    # Supprimer les journaux d'événements générés à partir de la machine de test locale (optionnel)
    wevtutil cl Microsoft-Windows-Sysmon/Operational
    wevtutil cl Security

Fin du rapport