Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Prometei è una botnet collegata alla Russia che compromette i server Windows, installa un servizio persistente, ruba credenziali, mina Monero e potenzia l’host per bloccare gli intrusi concorrenti. Utilizza la crittografia XOR e RC4 personalizzata, comunica tramite HTTP sulla rete libera e Tor, e recupera moduli extra attraverso un archivio 7-zip a tappe. Il malware si avvale di utilitĂ Windows legittime per la raccolta e la persistenza.
Indagine
L’UnitĂ di Risposta alle Minacce di eSentire ha trovato l’infezione su un server Windows nel settore delle costruzioni a gennaio 2026. Una catena di comandi malevoli ha creato un file chiave XOR, scaricato un payload Base64, lo ha decrittato con una routine XOR a rotazione e installato il servizio UPlugPlay. Valori di registro hanno memorizzato identificatori host e chiavi crittografate, mentre il traffico HTTP GET in uscita trasportava dettagli di sistema crittografati. Download a tappe hanno anche estratto ulteriori componenti utilizzati per il mining.
Mitigazione
Imporre password RDP forti e uniche, abilitare l’MFA, disabilitare servizi remoti non necessari e applicare politiche di blocco account. Utilizzare AppLocker o WDAC per impedire l’abuso di LOLBin e bloccare l’esecuzione di strumenti non attendibili. Distribuire Windows Defender o AV di nuova generazione con firme personalizzate e garantire che le regole del firewall non possano essere modificate per consentire accesso in entrata non autorizzato.
Risposta
Isolare l’host, terminare UPlugPlay, rimuovere i file associati e le chiavi di registro, e reimpostare le credenziali compromesse. Scansire altri sistemi infetti, bloccare IP/domains C2 identificati, e monitorare pattern di creazione processi ripetuti o cambiamenti sospetti delle regole del firewall.
graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc %% Definizione dei nodi initial_access[“<b>Azione</b> – <b>T1021.001 Servizi remoti: Remote Desktop Protocol</b><br/>Credenziali RDP compromesse usate per l’accesso a Windows Server”] class initial_access action tool_cmd[“<b>Strumento</b> – <b>Nome</b>: cmd.exe<br/><b>Descrizione</b>: Shell dei comandi di Windows”] class tool_cmd tool malware_xor_key[“<b>Malware</b> – <b>File</b>: C:\\Windows\\mshlpda32.dll<br/><b>Scopo</b>: Memorizza la chiave XOR scritta tramite cmd”] class malware_xor_key malware tool_powershell[“<b>Strumento</b> – <b>Nome</b>: PowerShell<br/><b>Descrizione</b>: Esegue script e decodifica payload base64-XOR”] class tool_powershell tool malware_zsvc[“<b>Malware</b> – <b>File</b>: C:\\Windows\\zsvc.exe<br/><b>Scopo</b>: Payload decriptato scritto e avviato”] class malware_zsvc malware malware_sqhost[“<b>Malware</b> – <b>File</b>: C:\\Windows\\sqhost.exe<br/><b>Scopo</b>: Payload copiato per esecuzione come servizio”] class malware_sqhost malware service_node[“<b>Azione</b> – <b>T1569.002 Servizi di sistema: Esecuzione del servizio</b><br/>Servizio Windows ‘UPlugPlay’ creato e impostato su avvio automatico”] class service_node action firewall_rule[“<b>Azione</b> – <b>T1562.004 Compromissione difese: Disabilita o modifica firewall</b><br/>Regola in entrata aggiunta per sqhost.exe e WinRM disabilitato”] class firewall_rule action defender_exclusion[“<b>Azione</b> – <b>T1564.012 Nascondi artefatti: esclusioni file/percorso</b><br/>Esclusione Microsoft Defender aggiunta per C:\\Windows\\dell”] class defender_exclusion action tool_mimikatz[“<b>Strumento</b> – <b>Nome</b>: Mimikatz (miWalk32/miWalk64)<br/><b>Descrizione</b>: Raccoglie credenziali da LSA Secrets”] class tool_mimikatz tool credential_dump[“<b>Azione</b> – <b>T1003.004 Dump credenziali OS: LSA Secrets</b><br/>Binari Mimikatz distribuiti per rubare credenziali”] class credential_dump action discovery[“<b>Azione</b> – <b>T1016 Scoperta configurazione rete sistema</b><br/>Raccolti nome host, dominio e configurazione IP”] class discovery action archive[“<b>Azione</b> – <b>T1560.003 Archiviazione tramite metodo personalizzato</b><br/>Dati compressi con LZNT1 prima dell’esfiltrazione”] class archive action obfuscation[“<b>Azione</b> – <b>T1027.015 File o informazioni offuscate: Compressione</b><br/>Usata compressione LZNT1, crittografia RC4 e doppio base64”] class obfuscation action c2_web[“<b>Azione</b> – <b>T1102.002 Servizio Web: Comunicazione bidirezionale</b><br/>HTTP GET/POST con parametri i r add h enckey answ”] class c2_web action c2_http[“<b>Azione</b> – <b>T1071.001 Protocollo livello applicazione: protocolli web</b><br/>Traffico HTTP su clearweb e TOR”] class c2_http action c2_tor_proxy[“<b>Azione</b> – <b>T1090 Proxy</b><br/>Traffico C2 instradato tramite servizio nascosto TOR”] class c2_tor_proxy action c2_multi_hop[“<b>Azione</b> – <b>T1090.003 Proxy: Proxy multi-hop</b><br/>Rete TOR usata per anonimato multi-hop”] class c2_multi_hop action lateral_movement[“<b>Azione</b> – <b>T1021 Servizi remoti</b><br/>Scaricato rdpcIip.exe per protezione da brute-force RDP e possibile movimento laterale”] class lateral_movement action tool_rdpcIip[“<b>Strumento</b> – <b>Nome</b>: rdpcIip.exe<br/><b>Descrizione</b>: Monitora errori RDP e aggiorna regole firewall”] class tool_rdpcIip tool netdefender[“<b>Azione</b> – <b>T1562.004 Compromissione difese: Disabilita o modifica firewall</b><br/>Monitora evento ID 4625 e aggiunge blocchi firewall per IP brute-force”] class netdefender action %% Connessioni flusso initial_access –>|executes| tool_cmd tool_cmd –>|writes| malware_xor_key initial_access –>|executes| tool_powershell tool_powershell –>|downloads_and_decrypts| malware_zsvc malware_zsvc –>|copies_to| malware_sqhost malware_sqhost –>|installs| service_node service_node –>|creates| firewall_rule service_node –>|adds_exclusion| defender_exclusion service_node –>|spawns| credential_dump credential_dump –>|uses| tool_mimikatz credential_dump –>|collects| discovery discovery –>|archives| archive archive –>|obfuscates| obfuscation obfuscation –>|sent_via| c2_web c2_web –>|communicates_via| c2_http c2_http –>|routed_through| c2_tor_proxy c2_tor_proxy –>|provides| c2_multi_hop c2_multi_hop –>|supports| lateral_movement lateral_movement –>|uses| tool_rdpcIip tool_rdpcIip –>|adds| netdefender
Flusso di attacco
Rilevamenti
Download o Upload tramite Powershell (via cmdline)
Visualizza
Esecuzione del Software di Archiviazione tramite Interprete di Comando e Script (via process_creation)
Visualizza
Modifica Sospetta delle Esclusioni di Defender (via cmdline)
Visualizza
Possibili Indicatori di Offuscamento di Powershell (via powershell)
Visualizza
Chiama Metodi Sospetti .NET da Powershell (via powershell)
Visualizza
Stringhe di Powershell Sospette (via cmdline)
Visualizza
Possibile Enumerazione di Sistema (via cmdline)
Visualizza
IOC (DestinationIP) da rilevare: Tenant dall’Inferno: Permanenza non autorizzata di Prometei nel tuo server Windows
Visualizza
IOC (HashSha256) da rilevare: Tenant dall’Inferno: Permanenza non autorizzata di Prometei nel tuo server Windows
Visualizza
IOC (SourceIP) da rilevare: Tenant dall’Inferno: Permanenza non autorizzata di Prometei nel tuo server Windows
Visualizza
Rilevamento dell’Esecuzione del Payload di Prometei ed Evasione di Windows Defender [Windows Powershell]
Visualizza
Rilevamento della Comunicazione C2 di Prometei su HTTP [Connessione di Rete Windows]
Visualizza
Raccolta delle Informazioni di Sistema di Prometei [Creazione del Processo Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Check Pre-volo di Telemetria e Baseline deve essere passato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa e Comandi di Attacco:
L’avversario ha ottenuto l’esecuzione di codice remoto sull’host vittima e desidera raccogliere dettagli sull’hardware di basso livello e la versione del sistema operativo per l’inventario e la futura personalizzazione del payload. Per rimanere “sotto sorveglianza”, l’attore utilizza utilitĂ Windows integrate che difficilmente vengono bloccate:- Interrogare la versione OS –
cmd.exe /c ver(stringa di versione classica). - Raccogliere il produttore della scheda madre –
wmic baseboard get Manufacturer. - Raccogliere il modello del computer –
wmic ComputerSystem get Model.
Questi comandi vengono eseguiti in sequenza in un unico script PowerShell per imitare un modulo post-sfruttamento realistico. Ogni comando produce un evento di creazione di processo distinto che corrisponde alle condizioni della regola Sigma.
- Interrogare la versione OS –
-
Script di Test di Regresso:
# Simulazione di fingerprinting di sistema in stile Prometei # ------------------------------------------------ # 1. Versione OS cmd.exe /c ver # 2. Produttore della scheda madre wmic baseboard get Manufacturer # 3. Modello del computer wmic ComputerSystem get Model -
Comandi di Pulizia:
# Rimuovere i log degli eventi generati dalla macchina di test locale (opzionale) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Fine del Rapporto