Inquilino do Inferno: A Permanência Não Autorizada do Prometei no Seu Servidor Windows
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Prometei é um botnet ligado à Rússia que compromete servidores Windows, instala um serviço persistente, rouba credenciais, minera Monero e fortifica o host para bloquear intrusos concorrentes. Ele utiliza criptografia customizada XOR e RC4, comunica-se via HTTP na web aberta e Tor, e recupera módulos extras por meio de um arquivo 7-zip escalonado. O malware depende de utilitários legítimos do Windows para coleta e persistência.
Investigação
A Threat Response Unit da eSentire encontrou a infecção em um servidor Windows do setor de construção em janeiro de 2026. Uma cadeia de comandos maliciosos criou um arquivo de chave XOR, baixou uma carga útil em Base64, desencriptou-a com uma rotina contínua XOR e instalou o serviço UPlugPlay. Valores de registro armazenavam identificadores de host e chaves criptografadas, enquanto o tráfego HTTP de saída GET carregava detalhes do sistema criptografados. Downloads escalonados também descompactaram componentes adicionais usados para mineração.
Mitigação
Imponha senhas RDP fortes e únicas, habilite MFA, desative serviços remotos desnecessários e aplique políticas de bloqueio de conta. Use AppLocker ou WDAC para restringir o abuso de LOLBin e bloquear a execução de ferramentas não confiáveis. Implante o Windows Defender ou antivírus de próxima geração com assinaturas personalizadas e certifique-se de que as regras do firewall não possam ser alteradas para permitir acesso de entrada não autorizado.
Resposta
Isole o host, termine o UPlugPlay, remova os arquivos e chaves de registro associados e redefina as credenciais comprometidas. Escaneie outros sistemas infectados, bloqueie os IPs/domínios C2 identificados e monitore padrões de criação de processos repetidos ou alterações suspeitas nas regras do firewall.
Fluxo de ataque
Detecções
Download ou Upload via Powershell (via linha de comando)
Visualizar
Executando Software de Arquivamento via Intérprete de Comando e Script (via criação de processo)
Visualizar
Modificação Suspeita de Exclusões do Defender (via linha de comando)
Visualizar
Possíveis Indicadores de Ofuscação em Powershell (via powershell)
Visualizar
Chamar Métodos .NET Suspeitos do Powershell (via powershell)
Visualizar
Strings Suspeitas de Powershell (via linha de comando)
Visualizar
Possível Enumeração do Sistema (via linha de comando)
Visualizar
IOCs (DestinationIP) para detecção: Inquilino do Inferno: Estadia Não Autorizada do Prometei no Seu Servidor Windows
Visualizar
IOCs (HashSha256) para detecção: Inquilino do Inferno: Estadia Não Autorizada do Prometei no Seu Servidor Windows
Visualizar
IOCs (SourceIP) para detecção: Inquilino do Inferno: Estadia Não Autorizada do Prometei no Seu Servidor Windows
Visualizar
Detecção de Execução de Payload Prometei e Evasão do Windows Defender [Windows Powershell]
Visualizar
Detecção de Comunicação C2 do Prometei via HTTP [Conexão de Rede do Windows]
Visualizar
Coleta de Informações do Sistema Prometei [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação Pré-vôo de Telemetria & Base Deve ter Passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
O adversário obteve execução remota de código no host da vítima e deseja coletar detalhes de hardware de baixo nível e versão do SO para inventário e ajuste de payloads futuros. Para permanecer “vivendo da terra”, o ator usa utilitários do Windows embutidos que provavelmente não serão bloqueados:- Consultar versão do SO –
cmd.exe /c ver(string de versão clássica). - Colher fabricante da placa-mãe –
wmic baseboard get Manufacturer. - Coletar modelo do computador –
wmic ComputerSystem get Model.
Esses comandos são executados sequencialmente em um único script PowerShell para imitar um módulo pós-exploração realista. Cada comando produz um evento distinto de criação de processo que corresponde às condições da regra Sigma.
- Consultar versão do SO –
-
Script de Teste de Regressão:
# Simulação de coleta de impressão digital do sistema estilo Prometei # ------------------------------------------------ # 1. Versão do SO cmd.exe /c ver # 2. Fabricante da placa-mãe wmic baseboard get Manufacturer # 3. Modelo do computador wmic ComputerSystem get Model -
Comandos de Limpeza:
# Remover logs de eventos gerados da máquina local de teste (opcional) wevtutil cl Microsoft-Windows-Sysmon/Operational wevtutil cl Security
Fim do Relatório