Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Prometei es un botnet vinculado a Rusia que compromete servidores Windows, instala un servicio persistente, roba credenciales, mina Monero y refuerza el host para bloquear intrusos competidores. Utiliza cifrado XOR y RC4 personalizado, se comunica a través de HTTP en la web clara y Tor, y recupera módulos adicionales mediante un archivo 7-zip escalonado. El malware se apoya en utilidades legítimas de Windows para la recopilación y persistencia.
Investigación
La Unidad de Respuesta a Amenazas de eSentire encontró la infección en un servidor Windows del sector de la construcción en enero de 2026. Una cadena de comandos maliciosos creó un archivo de clave XOR, descargó una carga útil Base64, la descifró con una rutina XOR escalonada e instaló el servicio UPlugPlay. Los valores del registro almacenaban identificadores de host y claves cifradas, mientras que el tráfico de salida HTTP GET llevaba detalles del sistema cifrados. Las descargas escalonadas también descomprimieron componentes adicionales utilizados para la minería.
Mitigación
Implemente contraseñas RDP fuertes y únicas, habilite MFA, desactive servicios remotos innecesarios y aplique políticas de bloqueo de cuentas. Use AppLocker o WDAC para restringir el abuso de LOLBin y bloquee la ejecución de herramientas no confiables. Despliegue Windows Defender o un AV de próxima generación con firmas personalizadas, y asegúrese de que las reglas del firewall no puedan modificarse para permitir el acceso entrante no autorizado.
Respuesta
Aislé el host, termine UPlugPlay, elimine archivos y claves de registro asociados, y restablezca las credenciales comprometidas. Escanee otros sistemas infectados, bloquee IPs/dominios C2 identificados y monitoree patrones repetidos de creación de procesos o cambios de reglas de firewall sospechosos.
graph TB %% Sección de definiciones de clase classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc %% Definiciones de nodos initial_access[«<b>Acción</b> – <b>T1021.001 Remote Services: Remote Desktop Protocol</b><br/>Credenciales RDP comprometidas usadas para iniciar sesión en Windows Server»] class initial_access action tool_cmd[«<b>Herramienta</b> – <b>Nombre</b>: cmd.exe<br/><b>Descripción</b>: Intérprete de comandos de Windows»] class tool_cmd tool malware_xor_key[«<b>Malware</b> – <b>Archivo</b>: C:\Windows\mshlpda32.dll<br/><b>Propósito</b>: Almacena clave XOR escrita mediante cmd»] class malware_xor_key malware tool_powershell[«<b>Herramienta</b> – <b>Nombre</b>: PowerShell<br/><b>Descripción</b>: Ejecuta scripts y decodifica carga base64-XOR»] class tool_powershell tool malware_zsvc[«<b>Malware</b> – <b>Archivo</b>: C:\Windows\zsvc.exe<br/><b>Propósito</b>: Carga descifrada escrita e iniciada»] class malware_zsvc malware malware_sqhost[«<b>Malware</b> – <b>Archivo</b>: C:\Windows\sqhost.exe<br/><b>Propósito</b>: Carga copiada para ejecución como servicio»] class malware_sqhost malware service_node[«<b>Acción</b> – <b>T1569.002 System Services: Service Execution</b><br/>Servicio de Windows ‘UPlugPlay’ creado configurado a inicio automático»] class service_node action firewall_rule[«<b>Acción</b> – <b>T1562.004 Impair Defenses: Disable or Modify System Firewall</b><br/>Regla entrante agregada para sqhost.exe y WinRM deshabilitado»] class firewall_rule action defender_exclusion[«<b>Acción</b> – <b>T1564.012 Hide Artifacts: File/Path Exclusions</b><br/>Exclusión de Microsoft Defender agregada para C:\Windows\dell»] class defender_exclusion action tool_mimikatz[«<b>Herramienta</b> – <b>Nombre</b>: Mimikatz (miWalk32/miWalk64)<br/><b>Descripción</b>: Extrae credenciales de LSA Secrets»] class tool_mimikatz tool credential_dump[«<b>Acción</b> – <b>T1003.004 OS Credential Dumping: LSA Secrets</b><br/>Binarios Mimikatz desplegados para robar credenciales»] class credential_dump action discovery[«<b>Acción</b> – <b>T1016 System Network Configuration Discovery</b><br/>Nombre de host, dominio y configuración IP recopilados»] class discovery action archive[«<b>Acción</b> – <b>T1560.003 Archive via Custom Method</b><br/>Datos comprimidos usando LZNT1 antes de exfiltración»] class archive action obfuscation[«<b>Acción</b> – <b>T1027.015 Obfuscated Files or Information: Compression</b><br/>Usó compresión LZNT1, cifrado RC4 y doble-base64»] class obfuscation action c2_web[«<b>Acción</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/>HTTP GET/POST con parámetros i r add h enckey answ»] class c2_web action c2_http[«<b>Acción</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>Tráfico HTTP sobre clearweb y TOR»] class c2_http action c2_tor_proxy[«<b>Acción</b> – <b>T1090 Proxy</b><br/>Tráfico C2 enrutado a través de servicio oculto TOR»] class c2_tor_proxy action c2_multi_hop[«<b>Acción</b> – <b>T1090.003 Proxy: Multi-hop Proxy</b><br/>Red TOR usada para anonimato multi-salto»] class c2_multi_hop action lateral_movement[«<b>Acción</b> – <b>T1021 Remote Services</b><br/>rdpcIip.exe descargado para protección contra fuerza bruta RDP y posible movimiento lateral»] class lateral_movement action tool_rdpcIip[«<b>Herramienta</b> – <b>Nombre</b>: rdpcIip.exe<br/><b>Descripción</b>: Monitorea fallos RDP y actualiza reglas de firewall»] class tool_rdpcIip tool netdefender[«<b>Acción</b> – <b>T1562.004 Impair Defenses: Disable or Modify System Firewall</b><br/>Monitorea evento ID 4625 y agrega bloqueos de firewall para IPs de fuerza bruta»] class netdefender action %% Conexiones que muestran el flujo initial_access –>|executes| tool_cmd tool_cmd –>|writes| malware_xor_key initial_access –>|executes| tool_powershell tool_powershell –>|downloads_and_decrypts| malware_zsvc malware_zsvc –>|copies_to| malware_sqhost malware_sqhost –>|installs| service_node service_node –>|creates| firewall_rule service_node –>|adds_exclusion| defender_exclusion service_node –>|spawns| credential_dump credential_dump –>|uses| tool_mimikatz credential_dump –>|collects| discovery discovery –>|archives| archive archive –>|obfuscates| obfuscation obfuscation –>|sent_via| c2_web c2_web –>|communicates_via| c2_http c2_http –>|routed_through| c2_tor_proxy c2_tor_proxy –>|provides| c2_multi_hop c2_multi_hop –>|supports| lateral_movement lateral_movement –>|uses| tool_rdpcIip tool_rdpcIip –>|adds| netdefender
Flujo de ataque
Detecciones
Descarga o carga mediante Powershell (mediante línea de comandos)
Ver
Ejecución de software de archivado mediante intérprete de comandos y scripts (mediante creación de procesos)
Ver
Modificación sospechosa de exclusiones de Defender (mediante línea de comandos)
Ver
Posibles indicadores de ofuscación de Powershell (mediante powershell)
Ver
Llamadas sospechosas a métodos .NET desde Powershell (mediante powershell)
Ver
Cadenas sospechosas de Powershell (mediante línea de comandos)
Ver
Posible enumeración del sistema (mediante línea de comandos)
Ver
IOCs (DestinationIP) para detectar: Inquilino del Infierno: Estancia no autorizada de Prometei en su servidor Windows
Ver
IOCs (HashSha256) para detectar: Inquilino del Infierno: Estancia no autorizada de Prometei en su servidor Windows
Ver
IOCs (SourceIP) para detectar: Inquilino del Infierno: Estancia no autorizada de Prometei en su servidor Windows
Ver
Detección de ejecución de carga útil de Prometei y evasión de Windows Defender [Windows Powershell]
Ver
Detección de comunicación C2 de Prometei sobre HTTP [Conexión de red de Windows]
Ver
Recopilación de información del sistema Prometei [Creación de procesos de Windows]
Ver
Ejecución de simulación
Requisito previo: Deben haber pasado el chequeo previo de telemetría y línea de base.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del ataque y comandos:
El adversario ha ganado ejecución de código remoto en el host víctima y desea recopilar detalles de hardware de bajo nivel y versión del sistema operativo para el inventario y la adaptación futura de cargas útiles. Para permanecer «viviendo de la tierra», el atacante utiliza utilidades integradas de Windows que es poco probable que sean bloqueadas:- Query versión del SO –
cmd.exe /c ver(cadena de versión clásica). - Recopilar fabricante de la placa base –
wmic baseboard get Manufacturer. - Recopilar modelo de computadora –
wmic ComputerSystem get Model.
Estos comandos se ejecutan secuencialmente en un solo script de PowerShell para imitar un módulo de post-explotación realista. Cada comando produce un evento de creación de proceso distinto que coincide con las condiciones de la regla Sigma.
- Query versión del SO –
-
Script de prueba de regresión:
# Simulación de huellas digitales de sistema al estilo Prometei # ------------------------------------------------ # 1. Versión del SO cmd.exe /c ver # 2. Fabricante de la placa base wmic baseboard get Manufacturer # 3. Modelo de computadora wmic ComputerSystem get Model -
Comandos de limpieza:
# Eliminar registros de eventos generados de la máquina de prueba local (opcional) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Fin del Informe