与俄罗斯关联的“Prometei”僵尸网络恢复针对Windows服务器的远程访问攻击

2026-02-20 18:37:06 3 727

Prometei是一个自2016年起活跃的与俄罗斯关联的僵尸网络,最近对Windows服务器发动了远程访问攻击。

据《网络安全新闻》等外国媒体报道,该僵尸网络通过细致挖掘远程桌面协议(RDP)的弱密码或初始设置来渗透系统。

渗透后,它执行一个两阶段部署命令,结合命令提示符(MCD)和PowerShell,完全控制系统权限。

该僵尸网络还注册为名为“UPlugPlay”的Windows服务,试图通过设置防火墙异常或排除杀毒处理来隐藏其行为。

其特点是使用多种加密方法,如RC2和RSA-4,巧妙地通过与C1024服务器通信来规避安全设备的检测。

特别是表现出“嫉妒租户”行为,试图通过防火墙阻止其他黑客访问来保持独家权限。




为了窃取凭证,它下载了Mimikatz变体和SSH扩散模块,极大地扩大了攻击范围。

为了收集系统信息,它使用普通Windows工具如wmic.exe来迷惑安全分析师。

为确保通信的匿名性,它不仅嵌入了通用网络代理模块,也嵌入了TOR网络代理模块,构成严重的安全风险。

此外,得益于其模块化架构,每个攻击组件独立更新,实现对防御系统的精确中和。

安全研究团队正在准备对策,包括开发YARA规则和Python工具来检测该僵尸网络。

企业必须实施强密码政策和多因素认证(MFA),以阻止RDP的渗透路径。

与俄罗斯相关的Prometey僵尸网络的发展表明,攻击者已从单纯的感染转向精确策略,以排除其他竞争对手并垄断系统。

多重加密和模块化攻击系统可以中和现有防御,使得加强RDP安全和建立主动检测系统在国家和企业层面成为一大挑战。
类别 新闻资讯

关于作者

beiank83篇文章410篇回复

beiank
3

评论3次

要评论?请先  登录  或  注册
  • 3楼
    xiwandashi
    Rank: 2
    2026-2-25 01:20
    Sex-twins

    远程桌面协议(RDP)的弱密码,给僵尸网络连绵不断的提供僵尸

    1

    话说真有用吗? 首先量应该不大,其次经过前面这么多波挖矿, 勒索的操作, 应该找不出几台弱口令rdp了

  • 2楼
    Sex-twins
    Rank: 2
    2026-2-24 08:14

    远程桌面协议(RDP)的弱密码,给僵尸网络连绵不断的提供僵尸

  • 1楼
    T00lsAI T00ls官方AI机器人
    Rank: 3Rank: 3
    2026-2-20 18:46

    结论

    Prometei僵尸网络通过RDP弱密码渗透,结合模块化隐蔽组件(如UPlugPlay服务)和多层加密通信维持持久化。攻击重点在于排除其他入侵者(“嫉妒租户”)、规避检测及横向扩散,核心防御需从RDP加固、隐蔽服务检测、加密流量拦截三方面切入。

    分析路径

    L1 攻击面识别

    1. 入口点
      • RDP弱密码或默认凭证(攻击源)。
      • 初始化设置中的权限漏洞(如未启用Network Level Authentication, NLA)。
    2. Sink点
      • xi统服务注册(UPlugPlay服务注册路径:HKLM\SYSTEM\CurrentControlSet\Services)。
      • 执行链:CMD/PowerShell调用wmic.exe等xi统工具(混淆Sink)。

    L2 假设与验证

    1. 假设1:攻击利用Mimikatz变体窃取凭证。
      • 验证:检查内存转储(如procdump+volatility)或进程树异常(wmic process中Mimikatz特征模块)。
    2. 假设2:隐蔽服务通过防火墙规则绕过检测。
      • 验证:检查防火墙入站规则(netsh advfirewall show rule name="UPlugPlay")及排除列表(net stop mpssvc触发异常)。

    L3 边界/异常场景

    1. 防火墙竞争排斥
      • 攻击者可能封锁其他C2端口(如netsh advfirewall firewall add rule name="block_ssh" dir=in action=block protocol=TCP localport=22)。
      • 验证:扫描开放端口与防火墙规则的矛盾(nmap端口扫描+netsh规则对比)。
    2. TOR代理模块滥用
      • Sink点为网络流量经TOR出口节点(非典型DNS请求或非SSL加密的隐蔽流量)。

    L4 防御反推与修复

    1. 加密流量对抗
      • 攻击者使用RC2/RSA-4加密通信,推测未采用标准SSL/TLS握手特征。
      • 反推防御:部署流量分析工具(如Bro/Zeek)捕获非标准加密流量模式。
    2. 模块化组件检测
      • 攻击组件独立更新,可通过YARA规则检测静态特征(如服务名UPlugPlay、Tor模块的PE导入表)。

    验证步骤

    1. 服务与进程检测
      sc query | findstr "UPlugPlay"  tasklist /FI "IMAGENAME eq wmic.exe" /V  # 检查异常wmic.exe父进程
    2. YARA规则开发
      rule Prometei_UPlugPlay  {    condition:      filesize < 2MB and      uint16(0) == 0x5A4D and      ascii:anyof("UPlugPlay", "RC2", "RSA-4")  }
    3. 网络流量取证
      • 使用Wireshark过滤Tor特征流量(如端口9001或非标准DNS响应)。
      • 检查与C2服务器(C1024)的DNS查询是否被本地hosts文件或防火墙拦截。

    修复建议

    1. RDP加固
      • 禁用默认RDP端口(3389),启用NLA,强制启用Azure AD MFA(针对Azure环境)或第三方MFA。
      • 配置密码策略:net accounts /minpwlength:12 /complexity:yes
    2. 隐蔽服务阻断
      • UPlugPlay服务名加入EDR黑名单,阻止非白名单服务注册。
    3. 流量与日志监控
      • 部署SIEM规则检测异常防火墙规则变更(如netsh命令审计)。
      • 定期扫描xi统工具哈xi(wmic.exe)是否被修改(对比微软官方校验值)。
    4. 模块化防御
      • 网络分割:限制RDP仅允许内网访问,部署下一代防火墙(NGFW)阻断非授权Tor流量。
      • 更新终端安全工具规则(如SpecterOps的BloodHound分析权限异常)。

    关键点:攻击本质是通过弱密码入口+隐蔽服务驻留+对抗检测机制形成闭环,防御需从入口控制、终端行为监控、网络流量分析三维度同步实施。