与俄罗斯关联的“Prometei”僵尸网络恢复针对Windows服务器的远程访问攻击
Prometei是一个自2016年起活跃的与俄罗斯关联的僵尸网络,最近对Windows服务器发动了远程访问攻击。
据《网络安全新闻》等外国媒体报道,该僵尸网络通过细致挖掘远程桌面协议(RDP)的弱密码或初始设置来渗透系统。
渗透后,它执行一个两阶段部署命令,结合命令提示符(MCD)和PowerShell,完全控制系统权限。
该僵尸网络还注册为名为“UPlugPlay”的Windows服务,试图通过设置防火墙异常或排除杀毒处理来隐藏其行为。
其特点是使用多种加密方法,如RC2和RSA-4,巧妙地通过与C1024服务器通信来规避安全设备的检测。
特别是表现出“嫉妒租户”行为,试图通过防火墙阻止其他黑客访问来保持独家权限。
为了窃取凭证,它下载了Mimikatz变体和SSH扩散模块,极大地扩大了攻击范围。
为了收集系统信息,它使用普通Windows工具如wmic.exe来迷惑安全分析师。
为确保通信的匿名性,它不仅嵌入了通用网络代理模块,也嵌入了TOR网络代理模块,构成严重的安全风险。
此外,得益于其模块化架构,每个攻击组件独立更新,实现对防御系统的精确中和。
安全研究团队正在准备对策,包括开发YARA规则和Python工具来检测该僵尸网络。
企业必须实施强密码政策和多因素认证(MFA),以阻止RDP的渗透路径。
与俄罗斯相关的Prometey僵尸网络的发展表明,攻击者已从单纯的感染转向精确策略,以排除其他竞争对手并垄断系统。
多重加密和模块化攻击系统可以中和现有防御,使得加强RDP安全和建立主动检测系统在国家和企业层面成为一大挑战。
渗透后,它执行一个两阶段部署命令,结合命令提示符(MCD)和PowerShell,完全控制系统权限。
该僵尸网络还注册为名为“UPlugPlay”的Windows服务,试图通过设置防火墙异常或排除杀毒处理来隐藏其行为。
其特点是使用多种加密方法,如RC2和RSA-4,巧妙地通过与C1024服务器通信来规避安全设备的检测。
特别是表现出“嫉妒租户”行为,试图通过防火墙阻止其他黑客访问来保持独家权限。
为了窃取凭证,它下载了Mimikatz变体和SSH扩散模块,极大地扩大了攻击范围。
为了收集系统信息,它使用普通Windows工具如wmic.exe来迷惑安全分析师。
为确保通信的匿名性,它不仅嵌入了通用网络代理模块,也嵌入了TOR网络代理模块,构成严重的安全风险。
此外,得益于其模块化架构,每个攻击组件独立更新,实现对防御系统的精确中和。
安全研究团队正在准备对策,包括开发YARA规则和Python工具来检测该僵尸网络。
企业必须实施强密码政策和多因素认证(MFA),以阻止RDP的渗透路径。
与俄罗斯相关的Prometey僵尸网络的发展表明,攻击者已从单纯的感染转向精确策略,以排除其他竞争对手并垄断系统。
多重加密和模块化攻击系统可以中和现有防御,使得加强RDP安全和建立主动检测系统在国家和企业层面成为一大挑战。
关于作者
评论1次
### 结论 Prometei僵尸网络通过RDP弱密码渗透,结合模块化隐蔽组件(如`UPlugPlay`服务)和多层加密通信维持持久化。攻击重点在于排除其他入侵者(“嫉妒租户”)、规避检测及横向扩散,核心防御需从RDP加固、隐蔽服务检测、加密流量拦截三方面切入。 --- ### 分析路径 #### **L1 攻击面识别** 1. **入口点**: - RDP弱密码或默认凭证(攻击源)。 - 初始化设置中的权限漏洞(如未启用Network Level Authentication, NLA)。 2. **Sink点**: - xi统服务注册(`UPlugPlay`服务注册路径:`HKLM\SYSTEM\CurrentControlSet\Services`)。 - 执行链:CMD/PowerShell调用`wmic.exe`等xi统工具(混淆Sink)。 #### **L2 假设与验证** 1. **假设1**:攻击利用Mimikatz变体窃取凭证。 - 验证:检查内存转储(如`procdump`+`volatility`)或进程树异常(`wmic process`中Mimikatz特征模块)。 2. **假设2**:隐蔽服务通过防火墙规则绕过检测。 - 验证:检查防火墙入站规则(`netsh advfirewall show rule name="UPlugPlay"`)及排除列表(`net stop mpssvc`触发异常)。 #### **L3 边界/异常场景** 1. **防火墙竞争排斥**: - 攻击者可能封锁其他C2端口(如`netsh advfirewall firewall add rule name="block_ssh" dir=in action=block protocol=TCP localport=22`)。 - 验证:扫描开放端口与防火墙规则的矛盾(`nmap`端口扫描+`netsh`规则对比)。 2. **TOR代理模块滥用**: - Sink点为网络流量经TOR出口节点(非典型DNS请求或非SSL加密的隐蔽流量)。 #### **L4 防御反推与修复** 1. **加密流量对抗**: - 攻击者使用RC2/RSA-4加密通信,推测未采用标准SSL/TLS握手特征。 - 反推防御:部署流量分析工具(如`Bro/Zeek`)捕获非标准加密流量模式。 2. **模块化组件检测**: - 攻击组件独立更新,可通过YARA规则检测静态特征(如服务名`UPlugPlay`、Tor模块的PE导入表)。 --- ### 验证步骤 1. **服务与进程检测**: ``` sc query | findstr "UPlugPlay" tasklist /FI "IMAGENAME eq wmic.exe" /V # 检查异常wmic.exe父进程 ``` 2. **YARA规则开发**: ``` rule Prometei_UPlugPlay { condition: filesize < 2MB and uint16(0) == 0x5A4D and ascii:anyof("UPlugPlay", "RC2", "RSA-4") } ``` 3. **网络流量取证**: - 使用`Wireshark`过滤Tor特征流量(如端口9001或非标准DNS响应)。 - 检查与C2服务器(`C1024`)的DNS查询是否被本地hosts文件或防火墙拦截。 --- ### 修复建议 1. **RDP加固**: - 禁用默认RDP端口(3389),启用NLA,强制启用Azure AD MFA(针对Azure环境)或第三方MFA。 - 配置密码策略:`net accounts /minpwlength:12 /complexity:yes`。 2. **隐蔽服务阻断**: - 将`UPlugPlay`服务名加入EDR黑名单,阻止非白名单服务注册。 3. **流量与日志监控**: - 部署SIEM规则检测异常防火墙规则变更(如`netsh`命令审计)。 - 定期扫描xi统工具哈xi(`wmic.exe`)是否被修改(对比微软官方校验值)。 4. **模块化防御**: - 网络分割:限制RDP仅允许内网访问,部署下一代防火墙(NGFW)阻断非授权Tor流量。 - 更新终端安全工具规则(如SpecterOps的BloodHound分析权限异常)。 --- 关键点:攻击本质是通过**弱密码入口+隐蔽服务驻留+对抗检测机制**形成闭环,防御需从入口控制、终端行为监控、网络流量分析三维度同步实施。