Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Prometei é um botnet ligado à Rússia que compromete servidores Windows, instala um serviço persistente, rouba credenciais, minera Monero e fortifica o host para bloquear intrusos concorrentes. Ele utiliza criptografia customizada XOR e RC4, comunica-se via HTTP na web aberta e Tor, e recupera módulos extras por meio de um arquivo 7-zip escalonado. O malware depende de utilitários legítimos do Windows para coleta e persistência.
Investigação
A Threat Response Unit da eSentire encontrou a infecção em um servidor Windows do setor de construção em janeiro de 2026. Uma cadeia de comandos maliciosos criou um arquivo de chave XOR, baixou uma carga útil em Base64, desencriptou-a com uma rotina contínua XOR e instalou o serviço UPlugPlay. Valores de registro armazenavam identificadores de host e chaves criptografadas, enquanto o tráfego HTTP de saída GET carregava detalhes do sistema criptografados. Downloads escalonados também descompactaram componentes adicionais usados para mineração.
Mitigação
Imponha senhas RDP fortes e únicas, habilite MFA, desative serviços remotos desnecessários e aplique políticas de bloqueio de conta. Use AppLocker ou WDAC para restringir o abuso de LOLBin e bloquear a execução de ferramentas não confiáveis. Implante o Windows Defender ou antivírus de próxima geração com assinaturas personalizadas e certifique-se de que as regras do firewall não possam ser alteradas para permitir acesso de entrada não autorizado.
Resposta
Isole o host, termine o UPlugPlay, remova os arquivos e chaves de registro associados e redefina as credenciais comprometidas. Escaneie outros sistemas infectados, bloqueie os IPs/domínios C2 identificados e monitore padrões de criação de processos repetidos ou alterações suspeitas nas regras do firewall.
graph TB %% Seção de definições de classe classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc %% Definições de nós initial_access[“<b>Ação</b> – <b>T1021.001 Remote Services: Remote Desktop Protocol</b><br/>Credenciais RDP comprometidas usadas para login no Windows Server”] class initial_access action tool_cmd[“<b>Ferramenta</b> – <b>Nome</b>: cmd.exe<br/><b>Descrição</b>: Shell de Comando do Windows”] class tool_cmd tool malware_xor_key[“<b>Malware</b> – <b>Arquivo</b>: C:\Windows\mshlpda32.dll<br/><b>Propósito</b>: Armazena chave XOR escrita via cmd”] class malware_xor_key malware tool_powershell[“<b>Ferramenta</b> – <b>Nome</b>: PowerShell<br/><b>Descrição</b>: Executa scripts e decodifica payload base64-XOR”] class tool_powershell tool malware_zsvc[“<b>Malware</b> – <b>Arquivo</b>: C:\Windows\zsvc.exe<br/><b>Propósito</b>: Payload descriptografado gravado e iniciado”] class malware_zsvc malware malware_sqhost[“<b>Malware</b> – <b>Arquivo</b>: C:\Windows\sqhost.exe<br/><b>Propósito</b>: Payload copiado para execução como serviço”] class malware_sqhost malware service_node[“<b>Ação</b> – <b>T1569.002 System Services: Service Execution</b><br/>Serviço Windows ‘UPlugPlay’ criado configurado para inicialização automática”] class service_node action firewall_rule[“<b>Ação</b> – <b>T1562.004 Impair Defenses: Disable or Modify System Firewall</b><br/>Regra de entrada adicionada para sqhost.exe e WinRM desativado”] class firewall_rule action defender_exclusion[“<b>Ação</b> – <b>T1564.012 Hide Artifacts: File/Path Exclusions</b><br/>Exclusão do Microsoft Defender adicionada para C:\Windows\dell”] class defender_exclusion action tool_mimikatz[“<b>Ferramenta</b> – <b>Nome</b>: Mimikatz (miWalk32/miWalk64)<br/><b>Descrição</b>: Coleta credenciais de LSA Secrets”] class tool_mimikatz tool credential_dump[“<b>Ação</b> – <b>T1003.004 OS Credential Dumping: LSA Secrets</b><br/>Binários Mimikatz implantados para roubar credenciais”] class credential_dump action discovery[“<b>Ação</b> – <b>T1016 System Network Configuration Discovery</b><br/>Nome do host, domínio e configuração IP coletados”] class discovery action archive[“<b>Ação</b> – <b>T1560.003 Archive via Custom Method</b><br/>Dados comprimidos usando LZNT1 antes da exfiltração”] class archive action obfuscation[“<b>Ação</b> – <b>T1027.015 Obfuscated Files or Information: Compression</b><br/>Usou compressão LZNT1, criptografia RC4 e base64 dupla”] class obfuscation action c2_web[“<b>Ação</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/>HTTP GET/POST com parâmetros i r add h enckey answ”] class c2_web action c2_http[“<b>Ação</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>Tráfego HTTP via clearweb e TOR”] class c2_http action c2_tor_proxy[“<b>Ação</b> – <b>T1090 Proxy</b><br/>Tráfego C2 roteado através de serviço oculto TOR”] class c2_tor_proxy action c2_multi_hop[“<b>Ação</b> – <b>T1090.003 Proxy: Multi-hop Proxy</b><br/>Rede TOR usada para anonimato multi-salto”] class c2_multi_hop action lateral_movement[“<b>Ação</b> – <b>T1021 Remote Services</b><br/>rdpcIip.exe baixado para proteção contra brute-force RDP e possível movimento lateral”] class lateral_movement action tool_rdpcIip[“<b>Ferramenta</b> – <b>Nome</b>: rdpcIip.exe<br/><b>Descrição</b>: Monitora falhas RDP e atualiza regras de firewall”] class tool_rdpcIip tool netdefender[“<b>Ação</b> – <b>T1562.004 Impair Defenses: Disable or Modify System Firewall</b><br/>Monitora evento ID 4625 e adiciona bloqueios de firewall para IPs de brute-force”] class netdefender action %% Conexões mostrando fluxo initial_access –>|executes| tool_cmd tool_cmd –>|writes| malware_xor_key initial_access –>|executes| tool_powershell tool_powershell –>|downloads_and_decrypts| malware_zsvc malware_zsvc –>|copies_to| malware_sqhost malware_sqhost –>|installs| service_node service_node –>|creates| firewall_rule service_node –>|adds_exclusion| defender_exclusion service_node –>|spawns| credential_dump credential_dump –>|uses| tool_mimikatz credential_dump –>|collects| discovery discovery –>|archives| archive archive –>|obfuscates| obfuscation obfuscation –>|sent_via| c2_web c2_web –>|communicates_via| c2_http c2_http –>|routed_through| c2_tor_proxy c2_tor_proxy –>|provides| c2_multi_hop c2_multi_hop –>|supports| lateral_movement lateral_movement –>|uses| tool_rdpcIip tool_rdpcIip –>|adds| netdefender
Fluxo de ataque
Detecções
Download ou Upload via Powershell (via linha de comando)
Visualizar
Executando Software de Arquivamento via Intérprete de Comando e Script (via criação de processo)
Visualizar
Modificação Suspeita de Exclusões do Defender (via linha de comando)
Visualizar
Possíveis Indicadores de Ofuscação em Powershell (via powershell)
Visualizar
Chamar Métodos .NET Suspeitos do Powershell (via powershell)
Visualizar
Strings Suspeitas de Powershell (via linha de comando)
Visualizar
Possível Enumeração do Sistema (via linha de comando)
Visualizar
IOCs (DestinationIP) para detecção: Inquilino do Inferno: Estadia Não Autorizada do Prometei no Seu Servidor Windows
Visualizar
IOCs (HashSha256) para detecção: Inquilino do Inferno: Estadia Não Autorizada do Prometei no Seu Servidor Windows
Visualizar
IOCs (SourceIP) para detecção: Inquilino do Inferno: Estadia Não Autorizada do Prometei no Seu Servidor Windows
Visualizar
Detecção de Execução de Payload Prometei e Evasão do Windows Defender [Windows Powershell]
Visualizar
Detecção de Comunicação C2 do Prometei via HTTP [Conexão de Rede do Windows]
Visualizar
Coleta de Informações do Sistema Prometei [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação Pré-vôo de Telemetria & Base Deve ter Passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
O adversário obteve execução remota de código no host da vítima e deseja coletar detalhes de hardware de baixo nível e versão do SO para inventário e ajuste de payloads futuros. Para permanecer “vivendo da terra”, o ator usa utilitários do Windows embutidos que provavelmente não serão bloqueados:- Consultar versão do SO –
cmd.exe /c ver(string de versão clássica). - Colher fabricante da placa-mãe –
wmic baseboard get Manufacturer. - Coletar modelo do computador –
wmic ComputerSystem get Model.
Esses comandos são executados sequencialmente em um único script PowerShell para imitar um módulo pós-exploração realista. Cada comando produz um evento distinto de criação de processo que corresponde às condições da regra Sigma.
- Consultar versão do SO –
-
Script de Teste de Regressão:
# Simulação de coleta de impressão digital do sistema estilo Prometei # ------------------------------------------------ # 1. Versão do SO cmd.exe /c ver # 2. Fabricante da placa-mãe wmic baseboard get Manufacturer # 3. Modelo do computador wmic ComputerSystem get Model -
Comandos de Limpeza:
# Remover logs de eventos gerados da máquina local de teste (opcional) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Fim do Relatório