Inquilino del Infierno: La Estancia No Autorizada de Prometei en su Servidor Windows
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Prometei es un botnet vinculado a Rusia que compromete servidores Windows, instala un servicio persistente, roba credenciales, mina Monero y refuerza el host para bloquear intrusos competidores. Utiliza cifrado XOR y RC4 personalizado, se comunica a través de HTTP en la web clara y Tor, y recupera módulos adicionales mediante un archivo 7-zip escalonado. El malware se apoya en utilidades legítimas de Windows para la recopilación y persistencia.
Investigación
La Unidad de Respuesta a Amenazas de eSentire encontró la infección en un servidor Windows del sector de la construcción en enero de 2026. Una cadena de comandos maliciosos creó un archivo de clave XOR, descargó una carga útil Base64, la descifró con una rutina XOR escalonada e instaló el servicio UPlugPlay. Los valores del registro almacenaban identificadores de host y claves cifradas, mientras que el tráfico de salida HTTP GET llevaba detalles del sistema cifrados. Las descargas escalonadas también descomprimieron componentes adicionales utilizados para la minería.
Mitigación
Implemente contraseñas RDP fuertes y únicas, habilite MFA, desactive servicios remotos innecesarios y aplique políticas de bloqueo de cuentas. Use AppLocker o WDAC para restringir el abuso de LOLBin y bloquee la ejecución de herramientas no confiables. Despliegue Windows Defender o un AV de próxima generación con firmas personalizadas, y asegúrese de que las reglas del firewall no puedan modificarse para permitir el acceso entrante no autorizado.
Respuesta
Aislé el host, termine UPlugPlay, elimine archivos y claves de registro asociados, y restablezca las credenciales comprometidas. Escanee otros sistemas infectados, bloquee IPs/dominios C2 identificados y monitoree patrones repetidos de creación de procesos o cambios de reglas de firewall sospechosos.
Flujo de ataque
Detecciones
Descarga o carga mediante Powershell (mediante línea de comandos)
Ver
Ejecución de software de archivado mediante intérprete de comandos y scripts (mediante creación de procesos)
Ver
Modificación sospechosa de exclusiones de Defender (mediante línea de comandos)
Ver
Posibles indicadores de ofuscación de Powershell (mediante powershell)
Ver
Llamadas sospechosas a métodos .NET desde Powershell (mediante powershell)
Ver
Cadenas sospechosas de Powershell (mediante línea de comandos)
Ver
Posible enumeración del sistema (mediante línea de comandos)
Ver
IOCs (DestinationIP) para detectar: Inquilino del Infierno: Estancia no autorizada de Prometei en su servidor Windows
Ver
IOCs (HashSha256) para detectar: Inquilino del Infierno: Estancia no autorizada de Prometei en su servidor Windows
Ver
IOCs (SourceIP) para detectar: Inquilino del Infierno: Estancia no autorizada de Prometei en su servidor Windows
Ver
Detección de ejecución de carga útil de Prometei y evasión de Windows Defender [Windows Powershell]
Ver
Detección de comunicación C2 de Prometei sobre HTTP [Conexión de red de Windows]
Ver
Recopilación de información del sistema Prometei [Creación de procesos de Windows]
Ver
Ejecución de simulación
Requisito previo: Deben haber pasado el chequeo previo de telemetría y línea de base.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del ataque y comandos:
El adversario ha ganado ejecución de código remoto en el host víctima y desea recopilar detalles de hardware de bajo nivel y versión del sistema operativo para el inventario y la adaptación futura de cargas útiles. Para permanecer «viviendo de la tierra», el atacante utiliza utilidades integradas de Windows que es poco probable que sean bloqueadas:- Query versión del SO –
cmd.exe /c ver(cadena de versión clásica). - Recopilar fabricante de la placa base –
wmic baseboard get Manufacturer. - Recopilar modelo de computadora –
wmic ComputerSystem get Model.
Estos comandos se ejecutan secuencialmente en un solo script de PowerShell para imitar un módulo de post-explotación realista. Cada comando produce un evento de creación de proceso distinto que coincide con las condiciones de la regla Sigma.
- Query versión del SO –
-
Script de prueba de regresión:
# Simulación de huellas digitales de sistema al estilo Prometei # ------------------------------------------------ # 1. Versión del SO cmd.exe /c ver # 2. Fabricante de la placa base wmic baseboard get Manufacturer # 3. Modelo de computadora wmic ComputerSystem get Model -
Comandos de limpieza:
# Eliminar registros de eventos generados de la máquina de prueba local (opcional) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Fin del Informe