Một chiến dịch tấn công mạng tinh vi đang nhắm mục tiêu vào các hệ thống Windows Server, sử dụng Prometei botnet. Botnet này đã hoạt động từ năm 2016, nổi tiếng với khả năng đa chức năng và duy trì quyền truy cập lâu dài vào các hệ thống bị xâm nhập.

Mã độc Prometei kết hợp nhiều tính năng độc hại, bao gồm khai thác tiền điện tử, đánh cắp thông tin xác thực và điều khiển từ xa, tạo ra một mối đe dọa toàn diện cho môi trường doanh nghiệp.

Tổng quan về Prometei Botnet

Prometei botnet được thiết kế để thực hiện nhiều hành vi độc hại khác nhau. Mã độc này không chỉ khai thác tài nguyên hệ thống để đào tiền điện tử mà còn chuyên sâu vào việc thu thập thông tin đăng nhập và duy trì sự kiểm soát.

Các nhà phân tích bảo mật đã ghi nhận Prometei có khả năng thích ứng cao, với các mô-đun được cập nhật độc lập, cho phép nó liên tục phát triển và né tránh các biện pháp phòng thủ.

Phương thức Lây nhiễm Ban đầu

Botnet Prometei ban đầu xâm nhập hệ thống bằng cách khai thác các thông tin đăng nhập yếu hoặc mặc định qua giao thức Remote Desktop Protocol (RDP). Đây là một điểm yếu phổ biến mà nhiều tổ chức thường bỏ qua.

Sau khi truy cập thành công, những kẻ tấn công sẽ thực thi một lệnh triển khai hai giai đoạn, kết hợp giữa Command Prompt và PowerShell, để cài đặt mã độc vào hệ thống.

Cơ chế Hoạt động và Triển khai

Quá trình lây nhiễm của Prometei botnet bao gồm nhiều bước được mã hóa và ngụy trang phức tạp để tránh bị phát hiện.

Quá trình Triển khai Mã độc

Để triển khai payload chính, mã độc Prometei yêu cầu ghi một tệp khóa XOR có tên mshlpda32.dll vào thư mục Windows. Tệp này sau đó được sử dụng để giải mã và thực thi payload.

Mã độc tự triển khai dưới dạng một dịch vụ Windows có tên “UPlugPlay” và sao chép chính nó vào C:Windowssqhost.exe. Điều này giúp mã độc duy trì quyền truy cập và hoạt động bền bỉ trên hệ thống bị nhiễm.

Kỹ thuật Né tránh và Duy trì

Prometei tạo các ngoại lệ trong Windows Firewall và Microsoft Defender để đảm bảo hoạt động không bị gián đoạn và duy trì giao tiếp với máy chủ chỉ huy và kiểm soát (C2). Điều này cho phép mã độc hoạt động âm thầm trong thời gian dài.

netsh advfirewall firewall add rule name="Allow UPlugPlay" dir=in action=allow program="C:Windowssqhost.exe" enable=yes
netsh advfirewall firewall add rule name="Allow UPlugPlay" dir=out action=allow program="C:Windowssqhost.exe" enable=yes

Ngoài ra, mã độc còn sử dụng nhiều lớp mã hóa, thể hiện khả năng kỹ thuật phức tạp để làm khó quá trình phát hiện và phân tích.

Giao tiếp C2 và Thu thập Thông tin

Giao tiếp của Prometei botnet với các máy chủ C2 được bảo vệ bằng nhiều thuật toán mã hóa, khiến việc giám sát và phân tích trở nên cực kỳ thách thức.

Mức độ Phức tạp của Giao tiếp C2

Mã độc sử dụng các thuật toán RC4, LZNT1 và RSA-1024 cho các kết nối C2, đảm bảo tính bảo mật và ẩn danh cho các hoạt động của nó.

Để duy trì quyền riêng tư, botnet này giao tiếp với các máy chủ C2 thông qua cả mạng Clear Web và mạng TOR, làm tăng thêm độ phức tạp trong việc truy vết.

Thu thập Dữ liệu Hệ thống

Prometei thu thập thông tin hệ thống sâu rộng, bao gồm tên máy tính, thông số kỹ thuật phần cứng, phần mềm chống vi-rút đã cài đặt và các tiến trình đang chạy. Mã độc sử dụng các công cụ Windows hợp pháp như wmic.exe để thực hiện việc này.

wmic computersystem get name,manufacturer,model
wmic product get name,version

Quá trình giải mã mã và dữ liệu của nó được thực hiện bằng một bộ mã hóa dựa trên khóa XOR xoay vòng, trong đó mỗi byte sử dụng một phép biến đổi duy nhất dựa trên vị trí của nó.

Cấu trúc Mô-đun và Khả năng Mở rộng của Prometei Botnet

Kiến trúc mô-đun cho phép Prometei botnet mở rộng khả năng bằng cách tải xuống các mô-đun mới, giúp nó thích nghi và thực hiện nhiều loại tấn công khác nhau.

Mô-đun “Kẻ Chiếm dụng Khó tính”

Một trong những mô-đun đáng chú ý là netdefender.exe, chuyên giám sát các lần đăng nhập không thành công và chặn các tác nhân đe dọa khác bằng cách thiết lập các quy tắc tường lửa.

Hành vi “kẻ chiếm dụng khó tính” này đảm bảo quyền truy cập độc quyền cho các nhà điều hành Prometei, ngăn chặn các tác nhân đe dọa khác xâm nhập cùng một hệ thống.

Mô-đun Đánh cắp Thông tin Đăng nhập và Di chuyển Ngang

Các mô-đun bổ sung bao gồm các biến thể Mimikatz (miWalk32.exe và miWalk64.exe) để thu hoạch thông tin đăng nhập, rdpcIip.exe để di chuyển ngang bằng cách sử dụng mật khẩu mặc định, và windrlver.exe để lây lan qua SSH.

Mã độc cũng tích hợp các mô-đun proxy TOR (msdtc.exe và smcard.exe) để định tuyến lưu lượng truy cập ẩn danh, tăng cường khả năng che giấu hoạt động độc hại.

Chỉ số Nhận dạng Sự cố (IOCs) của Prometei Botnet

Các tổ chức nên sử dụng các chỉ số nhận dạng sự cố sau để phát hiện và ngăn chặn mã độc Prometei:

• Tệp khóa XOR:mshlpda32.dll
• Tệp mã độc chính:sqhost.exe (thường nằm ở C:Windowssqhost.exe)
• Dịch vụ Windows:UPlugPlay
• Mô-đun bảo vệ:netdefender.exe
• Mô-đun Mimikatz:miWalk32.exe, miWalk64.exe
• Mô-đun di chuyển ngang:rdpcIip.exe, windrlver.exe
• Mô-đun proxy TOR:msdtc.exe, smcard.exe

Nghiên cứu của Esentire đã cung cấp các quy tắc YARA và tiện ích Python để phát hiện và phân tích các lây nhiễm Prometei. Chi tiết về nghiên cứu này có thể được tìm thấy tại đây.

Phát hiện và Phòng ngừa Prometei Botnet

Việc triển khai các biện pháp bảo mật mạnh mẽ là rất quan trọng để bảo vệ hệ thống khỏi Prometei botnet và các mối đe dọa tương tự.

Biện pháp Phòng ngừa Hiệu quả

Các tổ chức nên thực hiện các chính sách mật khẩu mạnh, xác thực đa yếu tố (MFA) cho quyền truy cập từ xa và các cơ chế khóa tài khoản. Giám sát dịch vụ RDP để tìm kiếm hoạt động đáng ngờ là một bước phòng thủ thiết yếu.

Giải pháp Endpoint Detection and Response (EDR) là công cụ không thể thiếu để xác định các chuỗi tiến trình phức tạp và các sửa đổi registry đặc trưng của các lây nhiễm Prometei.

Giám sát Mạng và Cảnh báo

Giám sát mạng cần tập trung vào các kết nối ra bên ngoài bất thường tới cơ sở hạ tầng C2 đã biết và các nút thoát TOR. Việc này giúp phát hiện sớm các hoạt động giao tiếp độc hại của botnet.

Bằng cách kết hợp các biện pháp phòng ngừa chủ động và công cụ phát hiện mạnh mẽ, các tổ chức có thể tăng cường khả năng phòng thủ an ninh mạng của mình trước các cuộc tấn công tinh vi như Prometei.