팔로우
요약
Prometei는 러시아와 관련된 봇넷으로, Windows 서버를 침해하고 지속적인 서비스를 설치하며, 자격 증명을 훔치고 Monero를 채굴하며 호스트를 강화하여 경쟁 침입자를 차단합니다. 이 봇넷은 커스텀 XOR 및 RC4 암호화를 사용하고, 명백한 웹 HTTP 및 Tor를 통해 통신하며, 7-zip 아카이브로 구성한 추가 모듈을 가져옵니다. 멀웨어는 수집 및 지속성을 위해 합법적인 Windows 유틸리티에 의존합니다.
조사
eSentire 위협 대응 팀은 2026년 1월 건설 산업의 Windows 서버에서 이 감염을 발견했습니다. 악성 명령 체인은 XOR 키 파일을 생성, Base64 페이로드를 다운로드, XOR 루틴으로 복호화하여 UPlugPlay 서비스를 설치했습니다. 레지스트리 값은 호스트 식별자와 암호화된 키를 저장했고, 아웃바운드 HTTP GET 트래픽은 암호화된 시스템 세부 정보를 전송했습니다. 단계적 다운로드는 마이닝에 사용되는 추가 구성 요소도 풀었습니다.
완화
강력하고 고유한 RDP 비밀번호를 사용하고, MFA를 활성화하며, 불필요한 원격 서비스를 비활성화하고, 계정 잠금 정책을 적용하십시오. AppLocker 또는 WDAC를 사용하여 LOLBin 남용을 제한하고 신뢰할 수 없는 도구의 실행을 차단하십시오. 맞춤 서명이 포함된 Windows Defender 또는 차세대 AV를 배포하고, 방화벽 규칙이 무단 인바운드 액세스를 허용하도록 변경되지 않도록 확인하십시오.
대응
호스트를 격리하고 UPlugPlay를 종료한 후 관련 파일과 레지스트리 키를 제거하며, 손상된 자격 증명을 재설정하십시오. 다른 감염된 시스템을 스캔하고 식별된 C2 IP/도메인을 차단하며, 반복적인 프로세스 생성 패턴이나 의심스러운 방화벽 규칙 변경을 모니터링하십시오.
graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc %% 노드 정의 initial_access[“<b>행동</b> – <b>T1021.001 원격 서비스: 원격 데스크톱 프로토콜</b><br/>손상된 RDP 자격 증명을 사용하여 Windows 서버 로그인”] class initial_access action tool_cmd[“<b>도구</b> – <b>이름</b>: cmd.exe<br/><b>설명</b>: Windows 명령 셸”] class tool_cmd tool malware_xor_key[“<b>악성코드</b> – <b>파일</b>: C:\\Windows\\mshlpda32.dll<br/><b>목적</b>: cmd를 통해 작성된 XOR 키 저장”] class malware_xor_key malware tool_powershell[“<b>도구</b> – <b>이름</b>: PowerShell<br/><b>설명</b>: 스크립트 실행 및 base64-XOR 페이로드 디코딩”] class tool_powershell tool malware_zsvc[“<b>악성코드</b> – <b>파일</b>: C:\\Windows\\zsvc.exe<br/><b>목적</b>: 복호화된 페이로드 기록 및 실행”] class malware_zsvc malware malware_sqhost[“<b>악성코드</b> – <b>파일</b>: C:\\Windows\\sqhost.exe<br/><b>목적</b>: 서비스 실행용 복사된 페이로드”] class malware_sqhost malware service_node[“<b>행동</b> – <b>T1569.002 시스템 서비스: 서비스 실행</b><br/>자동 시작으로 Windows 서비스 ‘UPlugPlay’ 생성”] class service_node action firewall_rule[“<b>행동</b> – <b>T1562.004 방어 무력화: 시스템 방화벽 비활성화 또는 수정</b><br/>sqhost.exe 수신 규칙 추가 및 WinRM 비활성화”] class firewall_rule action defender_exclusion[“<b>행동</b> – <b>T1564.012 아티팩트 숨기기: 파일/경로 제외</b><br/>C:\\Windows\\dell에 Microsoft Defender 제외 추가”] class defender_exclusion action tool_mimikatz[“<b>도구</b> – <b>이름</b>: Mimikatz (miWalk32/miWalk64)<br/><b>설명</b>: LSA Secrets에서 자격 증명 수집”] class tool_mimikatz tool credential_dump[“<b>행동</b> – <b>T1003.004 OS 자격 증명 덤프: LSA Secrets</b><br/>자격 증명 탈취를 위해 Mimikatz 배포”] class credential_dump action discovery[“<b>행동</b> – <b>T1016 시스템 네트워크 구성 탐색</b><br/>호스트 이름, 도메인, IP 구성 수집”] class discovery action archive[“<b>행동</b> – <b>T1560.003 맞춤 방법으로 아카이브</b><br/>유출 전 LZNT1로 데이터 압축”] class archive action obfuscation[“<b>행동</b> – <b>T1027.015 난독화된 파일 또는 정보: 압축</b><br/>LZNT1 압축, RC4 암호화 및 이중 base64 사용”] class obfuscation action c2_web[“<b>행동</b> – <b>T1102.002 웹 서비스: 양방향 통신</b><br/>HTTP GET/POST, 파라미터 i r add h enckey answ 포함”] class c2_web action c2_http[“<b>행동</b> – <b>T1071.001 애플리케이션 계층 프로토콜: 웹 프로토콜</b><br/>Clearweb 및 TOR를 통한 HTTP 트래픽”] class c2_http action c2_tor_proxy[“<b>행동</b> – <b>T1090 프록시</b><br/>TOR 히든 서비스 통해 C2 트래픽 라우팅”] class c2_tor_proxy action c2_multi_hop[“<b>행동</b> – <b>T1090.003 프록시: 다중 홉 프록시</b><br/>TOR 네트워크를 사용하여 다중 홉 익명화”] class c2_multi_hop action lateral_movement[“<b>행동</b> – <b>T1021 원격 서비스</b><br/>RDP 무차별 공격 방지 및 잠재적 측면 이동을 위해 rdpcIip.exe 다운로드”] class lateral_movement action tool_rdpcIip[“<b>도구</b> – <b>이름</b>: rdpcIip.exe<br/><b>설명</b>: RDP 실패 모니터링 및 방화벽 규칙 업데이트”] class tool_rdpcIip tool netdefender[“<b>행동</b> – <b>T1562.004 방어 무력화: 시스템 방화벽 비활성화 또는 수정</b><br/>이벤트 ID 4625 모니터링 후 브루트포스 IP 차단”] class netdefender action %% 플로우 연결 initial_access –>|executes| tool_cmd tool_cmd –>|writes| malware_xor_key initial_access –>|executes| tool_powershell tool_powershell –>|downloads_and_decrypts| malware_zsvc malware_zsvc –>|copies_to| malware_sqhost malware_sqhost –>|installs| service_node service_node –>|creates| firewall_rule service_node –>|adds_exclusion| defender_exclusion service_node –>|spawns| credential_dump credential_dump –>|uses| tool_mimikatz credential_dump –>|collects| discovery discovery –>|archives| archive archive –>|obfuscates| obfuscation obfuscation –>|sent_via| c2_web c2_web –>|communicates_via| c2_http c2_http –>|routed_through| c2_tor_proxy c2_tor_proxy –>|provides| c2_multi_hop c2_multi_hop –>|supports| lateral_movement lateral_movement –>|uses| tool_rdpcIip tool_rdpcIip –>|adds| netdefender
공격 흐름
탐지
Powershell을 통한 다운로드 또는 업로드 (cmdline 기준)
보기
명령 및 스크립팅 인터프리터를 통한 아카이브 소프트웨어 실행 (process_creation 기준)
보기
의심스러운 Defender 예외 수정 (cmdline 기준)
보기
가능한 Powershell 난독화 지표 (powershell 기준)
보기
Powershell에서 의심스러운 .NET 메서드 호출 (powershell 기준)
보기
의심스러운 Powershell 문자열 (cmdline 기준)
보기
가능한 시스템 열거 (cmdline 기준)
보기
IOCs (DestinationIP) 감지: 지옥에서 온 세입자: Prometei의 무단 Windows 서버 체류
보기
IOCs (HashSha256) 감지: 지옥에서 온 세입자: Prometei의 무단 Windows 서버 체류
보기
IOCs (SourceIP) 감지: 지옥에서 온 세입자: Prometei의 무단 Windows 서버 체류
보기
Prometei 페이로드 실행 및 Windows Defender 회피 감지 [Windows Powershell]
보기
Prometei C2 통신 HTTP를 통한 감지 [Windows 네트워크 연결]
보기
Prometei 시스템 정보 수집 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: Telemetry & Baseline 사전 비행 검사가 통과해야 합니다.
이론적 근거: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적수 기술(TTP)의 정확한 실행을 상세히 설명합니다. 명령과 설명은 식별된 TTP를 직접 반영하고 탐지 논리가 기대하는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다.
-
공격 내러티브 및 명령:
적수는 피해자 호스트에서 원격 코드 실행 권한을 획득했으며 인벤토리와 향후 페이로드 맞춤화를 위해 저수준 하드웨어 및 OS 버전 세부 정보를 수집하려고 합니다. ‘땅에 살다’는 것을 유지하기 위해, 배우는 차단될 가능성이 적은 내장된 Windows 유틸리티를 사용합니다:- OS 버전 쿼리 –
cmd.exe /c ver(클래식 버전 문자열). - 마더보드 제조사 확보 –
wmic baseboard get Manufacturer. - 컴퓨터 모델 수집 –
wmic ComputerSystem get Model.
이 명령들은 실제 포스트-익스플로잇 모듈을 모방하기 위해 단일 PowerShell 스크립트에서 순차적으로 실행됩니다. 각 명령은 Sigma 규칙의 조건에 맞는 독특한 프로세스 생성 이벤트를 생성합니다.
- OS 버전 쿼리 –
-
회귀 테스트 스크립트:
# Prometei 스타일 시스템 지문 추적 시뮬레이션 # ------------------------------------------------ # 1. OS 버전 cmd.exe /c ver # 2. 마더보드 제조사 wmic baseboard get Manufacturer # 3. 컴퓨터 모델 wmic ComputerSystem get Model -
정리 명령:
# 로컬 테스트 머신에서 생성된 이벤트 로그 제거 (선택 사항) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
보고서 종료