SOC Prime Bias: Середній

10 Feb 2026 14:38 UTC

Небажаний “орендатор” – Prometei: Неавторизована присутність на вашому Windows Server

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Небажаний “орендатор” – Prometei: Неавторизована присутність на вашому Windows Server
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Prometei — це ботнет, пов’язаний з Росією, який компрометує Windows-сервери, встановлює постійну службу, краде облікові дані, майнить Monero і зміцнює хост, щоб блокувати конкурентів. Він використовує користувацьке шифрування XOR та RC4, спілкується через відкритий веб HTTP та Tor, а також отримує додаткові модулі через багатоступеневий 7-zip архів. Шкідливе програмне забезпечення використовує легітимні утиліти Windows для збору даних і забезпечення стійкості.

Розслідування

Підрозділ реагування на загрози eSentire виявив інфекцію на Windows-сервері будівельного сектора у січні 2026 року. Злоякісний ланцюг команд створив файл ключа XOR, завантажив Base64 корисне навантаження, дешифрував його за допомогою циклічної XOR-рутини та встановив службу UPlugPlay. Значення реєстру зберігали ідентифікатори хостів і зашифровані ключі, тоді як вихідний HTTP GET трафік передавав зашифровані системні деталі. Стадійні завантаження також розпаковували додаткові компоненти, що використовуються для майнінгу.

Пом’якшення

Використовуйте складні, унікальні паролі для RDP, увімкніть MFA, відключіть непотрібні віддалені служби і застосуйте політики блокування облікового запису. Використовуйте AppLocker або WDAC для обмеження зловживань LOLBin і блокування виконання недовірених інструментів. Розгорніть Windows Defender або антивірус наступного покоління з налаштованими підписи і переконайтеся, що правила брандмауера не можуть бути змінені для дозволу несанкціонованого вхідного доступу.

Реакція

Ізолюйте хост, припиніть UPlugPlay, видаліть пов’язані файли та ключі реєстру, і скиньте скомпрометовані облікові дані. Скануйте на наявність інших інфікованих систем, блокуйте виявлені C2 IP/домен і стежте за повторними шаблонами створення процесів або підозрілими змінами в правилах брандмауера.

Потік атаки

Виявлення

Завантаження або Вивантаження через Powershell (через cmdline)

Команда SOC Prime
10 лютого 2026

Виконання програмного забезпечення для архівування через Командний та Сценарний Інтерпретатор (через створення процесу)

Команда SOC Prime
10 лютого 2026

Підозріле змінення виключень Defender (через cmdline)

Команда SOC Prime
10 лютого 2026

Можливі індикатори обфускації Powershell (через powershell)

Команда SOC Prime
10 лютого 2026

Виклик Підозрілих Методів .NET з Powershell (через powershell)

Команда SOC Prime
10 лютого 2026

Підозрілі рядки Powershell (через cmdline)

Команда SOC Prime
10 лютого 2026

Можливе перерахування системи (через cmdline)

Команда SOC Prime
10 лютого 2026

ІОК (ЦільовийIP) для виявлення: Tenant from Hell: Незаконне перебування Prometei на вашому Windows сервері

AI правила SOC Prime
10 лютого 2026

ІОК (HashSha256) для виявлення: Tenant from Hell: Незаконне перебування Prometei на вашому Windows сервері

AI правила SOC Prime
10 лютого 2026

ІОК (ДжерелоIP) для виявлення: Tenant from Hell: Незаконне перебування Prometei на вашому Windows сервері

AI правила SOC Prime
10 лютого 2026

Виявлення виконання корисного навантаження Prometei та обходу Windows Defender [Windows Powershell]

AI правила SOC Prime
10 лютого 2026

Виявлення комунікації Prometei C2 через HTTP [Підключення до мережі Windows]

AI правила SOC Prime
10 лютого 2026

Збір системної інформації Prometei [Створення процесу в Windows]

AI правила SOC Prime
10 лютого 2026

Симуляція виконання

Передумова: Перевірка телеметрії та базового рівня повинна бути пройдена.

Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для спрацьовування правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати визначені TTP та прагнути створити саме ту телеметрію, яку очікує логіка виявлення.

  • Наратив атаки та команди:
    Супротивник отримав віддалене виконання коду на хості жертви і хоче зібрати низькорівневі деталі апаратного забезпечення та версії ОС для інвентаризації та майбутнього налаштування корисного навантаження. Щоб залишитися “на борту”, актор використовує вбудовані в Windows утиліти, які навряд чи будуть заблоковані:

    1. Запит версії ОСcmd.exe /c ver (класичний рядок версії).
    2. Збір виробника материнської платиwmic baseboard get Manufacturer.
    3. Збір моделі комп’ютераwmic ComputerSystem get Model.

    Ці команди виконуються послідовно у одному скрипті PowerShell, щоб імітувати реалістичний модуль постексплуатації. Кожна команда створює унікальну подію створення процесу, яка відповідає умовам правила Sigma.

  • Скрипт регресійного тестування:

    # Імітація збиранія відбитків системи у стилі Prometei
    # ------------------------------------------------
    # 1. Версія ОС
    cmd.exe /c ver
    
    # 2. Виробник материнської плати
    wmic baseboard get Manufacturer
    
    # 3. Модель комп'ютера
    wmic ComputerSystem get Model
  • Команди очистки:

    # Видалення згенерованих журналів подій з локальної тестової машини (опціонально)
    wevtutil cl Microsoft-Windows-Sysmon/Operational
    wevtutil cl Security

Кінець звіту