地獄の住人: Prometei があなたの Windows サーバーで無許可の滞在
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Prometeiはロシアに関連するボットネットであり、Windowsサーバーを侵害して持続サービスをインストールし、資格情報を盗み、Moneroをマイニングし、ホストを保護して競合する侵入者をブロックします。カスタムXORおよびRC4暗号化を使用し、クリアウェブHTTPおよびTor経由で通信し、ステージド7-zipアーカイブを介して追加モジュールを取得します。マルウェアは収集と持続性のために正当なWindowsユーティリティに依存しています。
調査
eSentireの脅威対応ユニットは、2026年1月に建設部門のWindowsサーバーで感染を発見しました。悪意あるコマンドチェーンがXORキーのファイルを作成し、Base64ペイロードをダウンロードし、ローリングXORルーチンで復号してUPlugPlayサービスをインストールしました。レジストリ値にはホスト識別子と暗号化されたキーが格納され、アウトバウンドHTTP GETトラフィックは暗号化されたシステムの詳細を運びました。ステージドダウンロードは、マイニング用に使用される追加コンポーネントも展開しました。
緩和策
強力でユニークなRDPパスワードを施行し、MFAを有効にし、不要なリモートサービスを無効にし、アカウントロックアウトポリシーを適用します。AppLockerまたはWDACを使用してLOLBinの悪用を制限し、信頼できないツールの実行をブロックします。Windows Defenderまたは次世代AVをカスタムシグネチャで展開し、ファイアウォールルールが改変されて不正なインバウンドアクセスを許可されないようにします。
対応
ホストを隔離し、UPlugPlayを停止し、関連するファイルとレジストリキーを削除し、危険にさらされた資格情報をリセットします。他の感染したシステムをスキャンし、特定されたC2 IP/ドメインをブロックし、プロセス作成パターンの繰り返しや疑わしいファイアウォールルールの変更を監視します。
攻撃フロー
検知
Powershellによるダウンロードやアップロード(cmdline経由)
表示
コマンドとスクリプトインタープリタを介したアーカイブソフトウェアの実行(process_creation経由)
表示
疑わしいDefender除外の変更(cmdline経由)
表示
Powershellの難読化インジケータの可能性(powershell経由)
表示
Powershellからの疑わしい.NETメソッドの呼び出し(powershell経由)
表示
疑わしいPowershell文字列(cmdline経由)
表示
システム列挙の可能性(cmdline経由)
表示
IOCs(DestinationIP)を検知:Tenant from Hell:PrometeiのWindowsサーバーへの不正アクセス
表示
IOCs(HashSha256)を検知:Tenant from Hell:PrometeiのWindowsサーバーへの不正アクセス
表示
IOCs(SourceIP)を検知:Tenant from Hell:PrometeiのWindowsサーバーへの不正アクセス
表示
Prometeiペイロード実行およびWindows Defender回避の検知 [Windows Powershell]
表示
Prometei C2通信の検出HTTP経由 [Windowsネットワーク接続]
表示
Prometeiシステム情報収集 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリとベースラインの事前検査が完了している必要があります。
理論: このセクションでは、検出ルールをトリガーするために設計された敵の技術 (TTP) の正確な実行を詳細に説明します。コマンドと説明は、特定されたTTPに直接反映され、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃の説明とコマンド:
敵は被害ホスト上でのリモートコード実行を取得し、インベントリおよび将来のペイロードのカスタマイズのために低レベルのハードウェアおよびOSバージョンの詳細を収集したいと考えています。物理リソースを消耗しないために、アクターは通常ブロックされることのないWindowsの組み込みユーティリティを使用します:- OSバージョンの照会 –
cmd.exe /c ver(古典的なバージョン文字列) - マザーボードの製造元を取得 –
wmic baseboard get Manufacturer. - コンピュータのモデルを収集 –
wmic ComputerSystem get Model.
これらのコマンドは、一つのPowerShellスクリプト内で順次実行され、現実的な事後エクスプロイトモジュールを模倣します。各コマンドは、Sigmaルールの条件に一致する過程生成イベントを生成します。
- OSバージョンの照会 –
-
回帰テストスクリプト:
# Prometeiスタイルのシステムフィンガープリンティングシミュレーション # ------------------------------------------------ # 1. OSバージョン cmd.exe /c ver # 2. マザーボードの製造元 wmic baseboard get Manufacturer # 3. コンピュータのモデル wmic ComputerSystem get Model -
クリーンアップコマンド:
# ローカルテストマシンから生成されたイベントログを削除(オプション) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
レポートの終わり