SOC Prime Bias: Médio

10 Feb 2026 14:38 UTC

Inquilino do Inferno: A Permanência Não Autorizada do Prometei no Seu Servidor Windows

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Inquilino do Inferno: A Permanência Não Autorizada do Prometei no Seu Servidor Windows
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Prometei é um botnet ligado à Rússia que compromete servidores Windows, instala um serviço persistente, rouba credenciais, minera Monero e fortifica o host para bloquear intrusos concorrentes. Ele utiliza criptografia customizada XOR e RC4, comunica-se via HTTP na web aberta e Tor, e recupera módulos extras por meio de um arquivo 7-zip escalonado. O malware depende de utilitários legítimos do Windows para coleta e persistência.

Investigação

A Threat Response Unit da eSentire encontrou a infecção em um servidor Windows do setor de construção em janeiro de 2026. Uma cadeia de comandos maliciosos criou um arquivo de chave XOR, baixou uma carga útil em Base64, desencriptou-a com uma rotina contínua XOR e instalou o serviço UPlugPlay. Valores de registro armazenavam identificadores de host e chaves criptografadas, enquanto o tráfego HTTP de saída GET carregava detalhes do sistema criptografados. Downloads escalonados também descompactaram componentes adicionais usados para mineração.

Mitigação

Imponha senhas RDP fortes e únicas, habilite MFA, desative serviços remotos desnecessários e aplique políticas de bloqueio de conta. Use AppLocker ou WDAC para restringir o abuso de LOLBin e bloquear a execução de ferramentas não confiáveis. Implante o Windows Defender ou antivírus de próxima geração com assinaturas personalizadas e certifique-se de que as regras do firewall não possam ser alteradas para permitir acesso de entrada não autorizado.

Resposta

Isole o host, termine o UPlugPlay, remova os arquivos e chaves de registro associados e redefina as credenciais comprometidas. Escaneie outros sistemas infectados, bloqueie os IPs/domínios C2 identificados e monitore padrões de criação de processos repetidos ou alterações suspeitas nas regras do firewall.

Fluxo de ataque

Detecções

Download ou Upload via Powershell (via linha de comando)

Equipe SOC Prime
10 de fevereiro de 2026

Executando Software de Arquivamento via Intérprete de Comando e Script (via criação de processo)

Equipe SOC Prime
10 de fevereiro de 2026

Modificação Suspeita de Exclusões do Defender (via linha de comando)

Equipe SOC Prime
10 de fevereiro de 2026

Possíveis Indicadores de Ofuscação em Powershell (via powershell)

Equipe SOC Prime
10 de fevereiro de 2026

Chamar Métodos .NET Suspeitos do Powershell (via powershell)

Equipe SOC Prime
10 de fevereiro de 2026

Strings Suspeitas de Powershell (via linha de comando)

Equipe SOC Prime
10 de fevereiro de 2026

Possível Enumeração do Sistema (via linha de comando)

Equipe SOC Prime
10 de fevereiro de 2026

IOCs (DestinationIP) para detecção: Inquilino do Inferno: Estadia Não Autorizada do Prometei no Seu Servidor Windows

Regras AI do SOC Prime
10 de fevereiro de 2026

IOCs (HashSha256) para detecção: Inquilino do Inferno: Estadia Não Autorizada do Prometei no Seu Servidor Windows

Regras AI do SOC Prime
10 de fevereiro de 2026

IOCs (SourceIP) para detecção: Inquilino do Inferno: Estadia Não Autorizada do Prometei no Seu Servidor Windows

Regras AI do SOC Prime
10 de fevereiro de 2026

Detecção de Execução de Payload Prometei e Evasão do Windows Defender [Windows Powershell]

Regras AI do SOC Prime
10 de fevereiro de 2026

Detecção de Comunicação C2 do Prometei via HTTP [Conexão de Rede do Windows]

Regras AI do SOC Prime
10 de fevereiro de 2026

Coleta de Informações do Sistema Prometei [Criação de Processo do Windows]

Regras AI do SOC Prime
10 de fevereiro de 2026

Execução de Simulação

Pré-requisito: A Verificação Pré-vôo de Telemetria & Base Deve ter Passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    O adversário obteve execução remota de código no host da vítima e deseja coletar detalhes de hardware de baixo nível e versão do SO para inventário e ajuste de payloads futuros. Para permanecer “vivendo da terra”, o ator usa utilitários do Windows embutidos que provavelmente não serão bloqueados:

    1. Consultar versão do SOcmd.exe /c ver (string de versão clássica).
    2. Colher fabricante da placa-mãewmic baseboard get Manufacturer.
    3. Coletar modelo do computadorwmic ComputerSystem get Model.

    Esses comandos são executados sequencialmente em um único script PowerShell para imitar um módulo pós-exploração realista. Cada comando produz um evento distinto de criação de processo que corresponde às condições da regra Sigma.

  • Script de Teste de Regressão:

    # Simulação de coleta de impressão digital do sistema estilo Prometei
    # ------------------------------------------------
    # 1. Versão do SO
    cmd.exe /c ver
    
    # 2. Fabricante da placa-mãe
    wmic baseboard get Manufacturer
    
    # 3. Modelo do computador
    wmic ComputerSystem get Model
  • Comandos de Limpeza:

    # Remover logs de eventos gerados da máquina local de teste (opcional)
    wevtutil cl Microsoft-Windows-Sysmon/Operational
    wevtutil cl Security

Fim do Relatório