【安全资讯】揭开Prometei的面纱：深入分析我们的MXDR发现

概要：

在网络安全领域，Prometei恶意软件家族的活动引起了广泛关注。该恶意软件通过暴力破解攻击渗透客户系统，利用其模块化特性进行加密货币挖矿和凭证窃取。本文将深入探讨Prometei的攻击手法及其对全球网络安全的影响。

主要内容：

Prometei恶意软件自2016年起活跃，最近更新至版本3，已在全球范围内感染超过10,000个系统，尤其在巴西、印度尼西亚和土耳其等国表现活跃。攻击者利用域名生成算法（DGA）作为指挥和控制（C&C）基础设施，结合自我更新功能以规避检测。Prometei通过利用多个已知漏洞（如BlueKeep和Microsoft Exchange Server漏洞）进行传播，并使用PowerShell脚本检索有效载荷。

在我们的调查中，发现Prometei通过暴力破解尝试访问目标系统，并成功登录后在系统中创建多个恶意文件。这些文件不仅用于维持对受感染设备的控制，还能快速适应防御措施。特别是，sqhost.exe作为主要的恶意软件二进制文件，负责下载更多恶意组件并与C&C服务器连接。

此外，Prometei还通过修改WDigest身份验证协议来重新启用明文凭证存储，进一步加剧了数据泄露的风险。攻击者利用miwalk.exe等模块进行凭证收集，并通过SSH连接进行横向移动，显示出其复杂的攻击链和持久性。通过MXDR服务的实时监控和事件关联，我们能够更早地检测和响应这些恶意活动，强调了主动检测和响应的重要性。