Inquilino dall’Inferno: Il soggiorno non autorizzato di Prometei nel tuo Server Windows
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Prometei è una botnet collegata alla Russia che compromette i server Windows, installa un servizio persistente, ruba credenziali, mina Monero e potenzia l’host per bloccare gli intrusi concorrenti. Utilizza la crittografia XOR e RC4 personalizzata, comunica tramite HTTP sulla rete libera e Tor, e recupera moduli extra attraverso un archivio 7-zip a tappe. Il malware si avvale di utilità Windows legittime per la raccolta e la persistenza.
Indagine
L’Unità di Risposta alle Minacce di eSentire ha trovato l’infezione su un server Windows nel settore delle costruzioni a gennaio 2026. Una catena di comandi malevoli ha creato un file chiave XOR, scaricato un payload Base64, lo ha decrittato con una routine XOR a rotazione e installato il servizio UPlugPlay. Valori di registro hanno memorizzato identificatori host e chiavi crittografate, mentre il traffico HTTP GET in uscita trasportava dettagli di sistema crittografati. Download a tappe hanno anche estratto ulteriori componenti utilizzati per il mining.
Mitigazione
Imporre password RDP forti e uniche, abilitare l’MFA, disabilitare servizi remoti non necessari e applicare politiche di blocco account. Utilizzare AppLocker o WDAC per impedire l’abuso di LOLBin e bloccare l’esecuzione di strumenti non attendibili. Distribuire Windows Defender o AV di nuova generazione con firme personalizzate e garantire che le regole del firewall non possano essere modificate per consentire accesso in entrata non autorizzato.
Risposta
Isolare l’host, terminare UPlugPlay, rimuovere i file associati e le chiavi di registro, e reimpostare le credenziali compromesse. Scansire altri sistemi infetti, bloccare IP/domains C2 identificati, e monitorare pattern di creazione processi ripetuti o cambiamenti sospetti delle regole del firewall.
Flusso di attacco
Rilevamenti
Download o Upload tramite Powershell (via cmdline)
Visualizza
Esecuzione del Software di Archiviazione tramite Interprete di Comando e Script (via process_creation)
Visualizza
Modifica Sospetta delle Esclusioni di Defender (via cmdline)
Visualizza
Possibili Indicatori di Offuscamento di Powershell (via powershell)
Visualizza
Chiama Metodi Sospetti .NET da Powershell (via powershell)
Visualizza
Stringhe di Powershell Sospette (via cmdline)
Visualizza
Possibile Enumerazione di Sistema (via cmdline)
Visualizza
IOC (DestinationIP) da rilevare: Tenant dall’Inferno: Permanenza non autorizzata di Prometei nel tuo server Windows
Visualizza
IOC (HashSha256) da rilevare: Tenant dall’Inferno: Permanenza non autorizzata di Prometei nel tuo server Windows
Visualizza
IOC (SourceIP) da rilevare: Tenant dall’Inferno: Permanenza non autorizzata di Prometei nel tuo server Windows
Visualizza
Rilevamento dell’Esecuzione del Payload di Prometei ed Evasione di Windows Defender [Windows Powershell]
Visualizza
Rilevamento della Comunicazione C2 di Prometei su HTTP [Connessione di Rete Windows]
Visualizza
Raccolta delle Informazioni di Sistema di Prometei [Creazione del Processo Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Check Pre-volo di Telemetria e Baseline deve essere passato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa e Comandi di Attacco:
L’avversario ha ottenuto l’esecuzione di codice remoto sull’host vittima e desidera raccogliere dettagli sull’hardware di basso livello e la versione del sistema operativo per l’inventario e la futura personalizzazione del payload. Per rimanere “sotto sorveglianza”, l’attore utilizza utilità Windows integrate che difficilmente vengono bloccate:- Interrogare la versione OS –
cmd.exe /c ver(stringa di versione classica). - Raccogliere il produttore della scheda madre –
wmic baseboard get Manufacturer. - Raccogliere il modello del computer –
wmic ComputerSystem get Model.
Questi comandi vengono eseguiti in sequenza in un unico script PowerShell per imitare un modulo post-sfruttamento realistico. Ogni comando produce un evento di creazione di processo distinto che corrisponde alle condizioni della regola Sigma.
- Interrogare la versione OS –
-
Script di Test di Regresso:
# Simulazione di fingerprinting di sistema in stile Prometei # ------------------------------------------------ # 1. Versione OS cmd.exe /c ver # 2. Produttore della scheda madre wmic baseboard get Manufacturer # 3. Modello del computer wmic ComputerSystem get Model -
Comandi di Pulizia:
# Rimuovere i log degli eventi generati dalla macchina di test locale (opzionale) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Fine del Rapporto