SOC Prime Bias: 中程度

10 Feb 2026 14:38 UTC

地獄の住人: Prometei があなたの Windows サーバーで無許可の滞在

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
地獄の住人: Prometei があなたの Windows サーバーで無許可の滞在
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

Prometeiはロシアに関連するボットネットであり、Windowsサーバーを侵害して持続サービスをインストールし、資格情報を盗み、Moneroをマイニングし、ホストを保護して競合する侵入者をブロックします。カスタムXORおよびRC4暗号化を使用し、クリアウェブHTTPおよびTor経由で通信し、ステージド7-zipアーカイブを介して追加モジュールを取得します。マルウェアは収集と持続性のために正当なWindowsユーティリティに依存しています。

調査

eSentireの脅威対応ユニットは、2026年1月に建設部門のWindowsサーバーで感染を発見しました。悪意あるコマンドチェーンがXORキーのファイルを作成し、Base64ペイロードをダウンロードし、ローリングXORルーチンで復号してUPlugPlayサービスをインストールしました。レジストリ値にはホスト識別子と暗号化されたキーが格納され、アウトバウンドHTTP GETトラフィックは暗号化されたシステムの詳細を運びました。ステージドダウンロードは、マイニング用に使用される追加コンポーネントも展開しました。

緩和策

強力でユニークなRDPパスワードを施行し、MFAを有効にし、不要なリモートサービスを無効にし、アカウントロックアウトポリシーを適用します。AppLockerまたはWDACを使用してLOLBinの悪用を制限し、信頼できないツールの実行をブロックします。Windows Defenderまたは次世代AVをカスタムシグネチャで展開し、ファイアウォールルールが改変されて不正なインバウンドアクセスを許可されないようにします。

対応

ホストを隔離し、UPlugPlayを停止し、関連するファイルとレジストリキーを削除し、危険にさらされた資格情報をリセットします。他の感染したシステムをスキャンし、特定されたC2 IP/ドメインをブロックし、プロセス作成パターンの繰り返しや疑わしいファイアウォールルールの変更を監視します。

攻撃フロー

検知

Powershellによるダウンロードやアップロード(cmdline経由)

SOCプライムチーム
2026年2月10日

コマンドとスクリプトインタープリタを介したアーカイブソフトウェアの実行(process_creation経由)

SOCプライムチーム
2026年2月10日

疑わしいDefender除外の変更(cmdline経由)

SOCプライムチーム
2026年2月10日

Powershellの難読化インジケータの可能性(powershell経由)

SOCプライムチーム
2026年2月10日

Powershellからの疑わしい.NETメソッドの呼び出し(powershell経由)

SOCプライムチーム
2026年2月10日

疑わしいPowershell文字列(cmdline経由)

SOCプライムチーム
2026年2月10日

システム列挙の可能性(cmdline経由)

SOCプライムチーム
2026年2月10日

IOCs(DestinationIP)を検知:Tenant from Hell:PrometeiのWindowsサーバーへの不正アクセス

SOCプライムAIルール
2026年2月10日

IOCs(HashSha256)を検知:Tenant from Hell:PrometeiのWindowsサーバーへの不正アクセス

SOCプライムAIルール
2026年2月10日

IOCs(SourceIP)を検知:Tenant from Hell:PrometeiのWindowsサーバーへの不正アクセス

SOCプライムAIルール
2026年2月10日

Prometeiペイロード実行およびWindows Defender回避の検知 [Windows Powershell]

SOCプライムAIルール
2026年2月10日

Prometei C2通信の検出HTTP経由 [Windowsネットワーク接続]

SOCプライムAIルール
2026年2月10日

Prometeiシステム情報収集 [Windowsプロセス作成]

SOCプライムAIルール
2026年2月10日

シミュレーション実行

前提条件: テレメトリとベースラインの事前検査が完了している必要があります。

理論: このセクションでは、検出ルールをトリガーするために設計された敵の技術 (TTP) の正確な実行を詳細に説明します。コマンドと説明は、特定されたTTPに直接反映され、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。

  • 攻撃の説明とコマンド:
    敵は被害ホスト上でのリモートコード実行を取得し、インベントリおよび将来のペイロードのカスタマイズのために低レベルのハードウェアおよびOSバージョンの詳細を収集したいと考えています。物理リソースを消耗しないために、アクターは通常ブロックされることのないWindowsの組み込みユーティリティを使用します:

    1. OSバージョンの照会cmd.exe /c ver (古典的なバージョン文字列)
    2. マザーボードの製造元を取得wmic baseboard get Manufacturer.
    3. コンピュータのモデルを収集wmic ComputerSystem get Model.

    これらのコマンドは、一つのPowerShellスクリプト内で順次実行され、現実的な事後エクスプロイトモジュールを模倣します。各コマンドは、Sigmaルールの条件に一致する過程生成イベントを生成します。

  • 回帰テストスクリプト:

    # Prometeiスタイルのシステムフィンガープリンティングシミュレーション
    # ------------------------------------------------
    # 1. OSバージョン
    cmd.exe /c ver
    
    # 2. マザーボードの製造元
    wmic baseboard get Manufacturer
    
    # 3. コンピュータのモデル
    wmic ComputerSystem get Model
  • クリーンアップコマンド:

    # ローカルテストマシンから生成されたイベントログを削除(オプション)
    wevtutil cl Microsoft-Windows-Sysmon/Operational
    wevtutil cl Security

レポートの終わり