Небажаний “орендатор” – Prometei: Неавторизована присутність на вашому Windows Server
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Prometei — це ботнет, пов’язаний з Росією, який компрометує Windows-сервери, встановлює постійну службу, краде облікові дані, майнить Monero і зміцнює хост, щоб блокувати конкурентів. Він використовує користувацьке шифрування XOR та RC4, спілкується через відкритий веб HTTP та Tor, а також отримує додаткові модулі через багатоступеневий 7-zip архів. Шкідливе програмне забезпечення використовує легітимні утиліти Windows для збору даних і забезпечення стійкості.
Розслідування
Підрозділ реагування на загрози eSentire виявив інфекцію на Windows-сервері будівельного сектора у січні 2026 року. Злоякісний ланцюг команд створив файл ключа XOR, завантажив Base64 корисне навантаження, дешифрував його за допомогою циклічної XOR-рутини та встановив службу UPlugPlay. Значення реєстру зберігали ідентифікатори хостів і зашифровані ключі, тоді як вихідний HTTP GET трафік передавав зашифровані системні деталі. Стадійні завантаження також розпаковували додаткові компоненти, що використовуються для майнінгу.
Пом’якшення
Використовуйте складні, унікальні паролі для RDP, увімкніть MFA, відключіть непотрібні віддалені служби і застосуйте політики блокування облікового запису. Використовуйте AppLocker або WDAC для обмеження зловживань LOLBin і блокування виконання недовірених інструментів. Розгорніть Windows Defender або антивірус наступного покоління з налаштованими підписи і переконайтеся, що правила брандмауера не можуть бути змінені для дозволу несанкціонованого вхідного доступу.
Реакція
Ізолюйте хост, припиніть UPlugPlay, видаліть пов’язані файли та ключі реєстру, і скиньте скомпрометовані облікові дані. Скануйте на наявність інших інфікованих систем, блокуйте виявлені C2 IP/домен і стежте за повторними шаблонами створення процесів або підозрілими змінами в правилах брандмауера.
Потік атаки
Виявлення
Завантаження або Вивантаження через Powershell (через cmdline)
Переглянути
Виконання програмного забезпечення для архівування через Командний та Сценарний Інтерпретатор (через створення процесу)
Переглянути
Підозріле змінення виключень Defender (через cmdline)
Переглянути
Можливі індикатори обфускації Powershell (через powershell)
Переглянути
Виклик Підозрілих Методів .NET з Powershell (через powershell)
Переглянути
Підозрілі рядки Powershell (через cmdline)
Переглянути
Можливе перерахування системи (через cmdline)
Переглянути
ІОК (ЦільовийIP) для виявлення: Tenant from Hell: Незаконне перебування Prometei на вашому Windows сервері
Переглянути
ІОК (HashSha256) для виявлення: Tenant from Hell: Незаконне перебування Prometei на вашому Windows сервері
Переглянути
ІОК (ДжерелоIP) для виявлення: Tenant from Hell: Незаконне перебування Prometei на вашому Windows сервері
Переглянути
Виявлення виконання корисного навантаження Prometei та обходу Windows Defender [Windows Powershell]
Переглянути
Виявлення комунікації Prometei C2 через HTTP [Підключення до мережі Windows]
Переглянути
Збір системної інформації Prometei [Створення процесу в Windows]
Переглянути
Симуляція виконання
Передумова: Перевірка телеметрії та базового рівня повинна бути пройдена.
Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для спрацьовування правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати визначені TTP та прагнути створити саме ту телеметрію, яку очікує логіка виявлення.
-
Наратив атаки та команди:
Супротивник отримав віддалене виконання коду на хості жертви і хоче зібрати низькорівневі деталі апаратного забезпечення та версії ОС для інвентаризації та майбутнього налаштування корисного навантаження. Щоб залишитися “на борту”, актор використовує вбудовані в Windows утиліти, які навряд чи будуть заблоковані:- Запит версії ОС –
cmd.exe /c ver(класичний рядок версії). - Збір виробника материнської плати –
wmic baseboard get Manufacturer. - Збір моделі комп’ютера –
wmic ComputerSystem get Model.
Ці команди виконуються послідовно у одному скрипті PowerShell, щоб імітувати реалістичний модуль постексплуатації. Кожна команда створює унікальну подію створення процесу, яка відповідає умовам правила Sigma.
- Запит версії ОС –
-
Скрипт регресійного тестування:
# Імітація збиранія відбитків системи у стилі Prometei # ------------------------------------------------ # 1. Версія ОС cmd.exe /c ver # 2. Виробник материнської плати wmic baseboard get Manufacturer # 3. Модель комп'ютера wmic ComputerSystem get Model -
Команди очистки:
# Видалення згенерованих журналів подій з локальної тестової машини (опціонально) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Кінець звіту