吉沃运营专员 发表于 2024-1-12 16:36:55

Medusa 勒索软件将文件变成砖

英文原文:https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site/
执行概要
Unit 42 威胁情报分析师注意到 Medusa 勒索软件活动的升级以及勒索策略的转变,其特点是 2023 年初推出了名为 Medusa Blog 的专用泄密网站。Medusa 威胁行为者利用该网站披露不愿遵守赎金要求的受害者的敏感数据。

作为其多重勒索策略的一部分,当受害者的数据发布在其泄露网站上时,该组织将向受害者提供多种选择,例如延长时间、删除数据或下载所有数据。所有这些选项都有一个价格标签,具体取决于受该群体影响的组织。



除了使用洋葱网站进行勒索的策略外,Medusa 威胁者还利用名为 "information support" 的公共 Telegram 频道,其中受感染组织的文件已公开共享,并且比传统洋葱网站更容易访问。

Unit 42 事件响应团队还对 Medusa 勒索软件事件做出了响应,这使我们能够发现 Medusa 威胁行为者使用的有趣策略、工具和程序。

Palo Alto Networks 客户可以通过 Cortex XDR 以及针对下一代防火墙的 WildFire 云交付的安全服务更好地防御 Medusa 勒索软件组织使用的勒索软件。特别是,Cortex XDR 代理包括开箱即用的保护功能,可以防止测试的 Medusa 勒索软件样本的不良行为,而无需特定的检测逻辑或签名。Prisma Cloud Defender 代理可以监控 Windows 虚拟机实例中是否存在已知的 Medusa 恶意软件。Cortex Xpanse 可用于检测直接暴露在互联网上的易受攻击的服务,这些服务可能会被 Medusa 或其他勒索软件利用并感染。

Unit 42 事件响应团队还可以参与帮助达成妥协或提供主动评估以降低风险。

Medusa 勒索软件即服务
Medusa 于 2022 年底作为勒索软件即服务 (RaaS) 平台出现,并于 2023 年初声名狼藉,主要针对 Windows 环境。不应将 Medusa 与名称类似的 RaaS MedusaLocker 混淆,后者自 2019 年以来一直可用。我们的分析仅关注自 2023 年以来公开已知的 Medusa 勒索软件,该软件正在影响组织的 Windows 环境。

Medusa 勒索软件组织主要通过利用易受攻击的服务 (例如,面向公众的资产或具有已知未修补漏洞的应用程序) 和劫持合法帐户来传播勒索软件,通常利用初始访问代理进行渗透。我们将在本文后面深入研究初始访问策略和它们使用的更复杂的技术。我们还观察到,Medusa 勒索软件通过使用合法软件来实现恶意目的,这通常会与常规流量和行为混合在一起,从而使标记此类活动变得更加困难。

我们注意到其活动显着升级,其特点是在 2023 年初发布的 .onion 网站上推出了新的 Medusa Blog,可通过 TOR 访问。Medusa Blog 的屏幕截图如下图所示。该平台由犯罪者披露不愿接受其赎金要求的受害者的敏感数据。



作为一种多重勒索行为,Medusa 勒索软件运营商的公告包括以下几点信息,以迫使受害者支付赎金:


[*]价格标签:显示的金额是受影响的组织需要向该组织支付的费用,以便他们从网站上删除数据。Unit 42 观察到 Medusa 愿意与受害者谈判,就像许多勒索软件团体一样。实际支付的任何款项可能与网站上显示的价格不直接相符。
[*]倒计时:受影响的组织在被盗数据公开发布并可供下载之前所需要的时间。
[*]访客数量:帖子访客数量,用于谈判策略中以迫使受害者付费。
[*]受害者姓名和描述:受感染组织的身份信息。

该组织的帖子通常还揭露了妥协的证据。除了支付主要赎金之外,他们还向受影响的组织提供了各种选择 —— 任意且随 Medusa 的一时兴起而定的选择,如下图所示,这些选择包括以下内容:


[*]为防止数据在网站上发布而延长时间的标准费用为 10,000 美元
[*]数据删除请求
[*]一个下载选项

后两项服务的价格可能因组织而异。



Medusa Blog 上最近的一篇文章分享了一段视频,其中显示了受感染组织的文件。该视频的标题为 Medusa Media Team,我们怀疑该团队是处理其公共品牌的该团队的分支。我们还没有看到受害者网站上每个帖子的文件视频,所以仍然不清楚这是否会成为一种趋势。然而,像 Medusa 这样的勒索软件组织的目标是建立品牌和声誉,制作此类视频有助于强化他们作为可怕威胁的形象并提高他们的可信度。



该组织不仅仅是为了勒索目的而主办专门的泄密网站和视频。他们还在 Medusa Blog 网站上集成了 Telegram 和 X (以前称为 Twitter) 的链接。Medusa 使用的 Telegram 频道名为 "information support",用于公开和发布该组织窃取的数据。另一方面,指向 X 的链接只是指向 "Medusa 勒索软件" 的搜索结果页面。

Telegram 频道创建于 2021 年 7 月,其中包含该组织出现之前的一些内容,这些内容依赖于已知的公共违规行为。出乎意料的是,该频道并未打上 Medusa 勒索软件的标签。尽管如此,我们还是观察到该频道中的帖子泄露了与 Medusa 的妥协相关的内容,甚至声称会见该威胁组织的代表。下图显示了这种通信的示例。



2023 年 2 月 20 日,Telegram 频道宣布发布官方 Medusa 泄露网站。此公告附带了一张与官方 Medusa 泄露网站具有相同品牌的图像,如下图所示。



在撰写本文时,尚不清楚该频道的所有者是否参与了勒索软件操作本身。我们确实知道该平台被用来宣布妥协并发布泄露的信息。

Medusa 的猎物:了解受害学
在我们的分析中,我们一直关注 2023 年观察到的 Medusa 勒索软件样本。

根据泄漏站点,Medusa 勒索软件可能会在 2023 年影响全球 74 个组织。受影响最严重的行业包括高科技、教育和制造业。然而,受影响的领域多种多样,凸显了该组织的机会主义本质,这是许多勒索软件操作的特征。Medusa 勒索软件并不局限于单一行业。下图突出显示了他们的攻击的广泛影响。



Medusa 勒索软件攻击在国际范围内具有广泛影响力。然而,该组织的影响在美国最为明显,截至撰写本文时,美国已发生 24 起事件。大量目标组织位于欧洲。非洲、南美洲和亚洲发生的孤立事件凸显了该勒索软件组织的不分青红皂白的做法。即使在报告病例较少的地区,攻击也遍及全球范围。下图强调了这一点。



Medusa 工具包:揭开神秘贸易的面纱

本节揭示了我们在事件响应事件中发现的 Medusa 勒索软件参与者使用的一些工具和技术。预勒索软件技术为勒索软件团伙的共同主题以及 Medusa 勒索软件运营商在间谍技术方面的更独特的发展提供了有趣的线索。

初始访问
Unit 42 研究人员观察到 Medusa 勒索软件操作者将 Webshel​​l 上传到被利用的 Microsoft Exchange Server。此 Webshel​​l 功能与之前报告的 login.aspx 和 cmd.aspx 的 ASPX 文件重叠。下图显示了 cmd.aspx 的示例。



在 Webshel​​l 活动之后,威胁参与者使用 PowerShell 从名为 filemail[.]com 的文件托管站点执行 Bitsadmin 传输。从该站点下载的文件是 ZIP 压缩的,标题为baby.zip。解压并执行后,安装了远程监控和管理 (RMM) 软件 ConnectWise。

规避防御
Unit 42 研究人员观察到 Medusa 勒索软件运营商丢弃了两个内核驱动程序,以针对不同的安全产品集。每个内核驱动程序都使用名为 Safengine Shielden 的软件保护程序进行保护。驱动程序上使用的 Safengine Shielden 保护器通过各种代码突变随机化代码来混淆代码流,然后利用嵌入式虚拟机解释器来执行代码。

Unit 42 观察每个驱动与其自己的装载机配对。每个装载机都使用名为 ASM Guard 的包装机进行包装。

打包的加载程序使用伪造的 UPX 标头和伪造的 UPX 字节旁边的后续地址。在资源部分中,有大量对 ASM Guard 的引用以及其他各种垃圾填充中的伪造的 WINAPI 导入。





下图显示了使用 Safengine Shielden 保护后驱动程序入口点的样子。



这两个驱动程序的主要目标是包含要终止或删除的安全端点产品列表。下图中所示的安全产品字符串名称的硬编码列表用于与系统上主动运行的进程进行比较操作。



如果系统具有与硬编码安全工具进程名称匹配的进程名称,则使用未记录的 IOCTL 代码 (0x222094) 来终止进程,如下图所示。两个驱动程序之间的主要区别在于使用文件路径和 IOCTL (0x222184),这将根据提供的文件路径删除文件。



发现与侦察
Unit 42 研究人员使用便携式版本的 Netscan 观察了 Medusa 勒索软件攻击者 - 具有新颖性。关联的 netscan.xml 文件与软件配对,可增强开箱即用的整体功能。这包括各种类型的远程服务发现和 PsExec 等操作的预配置映射以及勒索软件二进制文件的部署。

自定义配置中提供了与以下相关的许多选项:


[*]WMI
[*]Registry
[*]Services
[*]Files
[*]SNMP
[*]Account groups
[*]XML
[*]SSH
[*]PowerShell

远程脚本功能通过 VBScript 和 JScript 扩展了该工具的功能。

包含的远程脚本使用西里尔字母,它们被翻译成英语,这提供了配置创建者和用户的首选语言的线索,也可能提供了使用这些功能的 Medusa 勒索软件组织的背景的线索。





下图显示了文件列表脚本的代码库示例以及与 Windows 目录下枚举的文件返回内容相关的内容。



下图显示了与找到的特定登录类型及其返回的字段相关的登录时间脚本的代码库。



完成网络扫描后,该工具的操作员可以右键单击结果中列出的设备,并在远程系统上提供许多自定义的点击选项。下图中显示的以 Gaze 结尾的菜单显示了 Medusa 勒索软件使用的与勒索软件二进制文件相关的命名约定,并深入了解了 Medusa 勒索软件的部署技术。


[*]Copy_Gaze (Ctrl+G)
[*]Deploy Gaze (Ctrl+T)
[*]Copy_Run_Gaze (Ctrl+W)



深入 Medusa
Unit 42 观察到 Medusa 勒索软件二进制文件中的一个点,与 Medusa 的神话相一致:在 PEStudio 的调试路径中使用和包含术语 gaze,延续了二进制文件的名称和 netscan.xml 配置文件中使用的命名方案。我们将在下一节中将勒索软件二进制文件称为 Gaze。



Medusa 勒索软件的 Windows 变种可以使用 11 个可能的参数运行,如下表所示。


参数说明
v检查勒索软件二进制文件的版本
n使用网络驱动器
s排除系统驱动器
d不要删除自身
f排除系统文件夹
p不使用预处理
k从文件加载 RSA 公钥
t从文件加载勒索信息
wPowerShell -execution policy bypass -File %s
v显示控制台窗口
i加密特定文件夹

当使用 -V 参数运行 2023 年 11 月的 Windows 可执行样本时,该样本标识为版本 1.20,如下图所示。该版本控制系统表明该勒索软件具有某种开发周期,这是最早公开发现的勒索软件之一。该勒索软件二进制文件于 2023 年 2 月上传,版本为 1.10。在 SHA-256 736de79e0a2d08156bae608b2a3e63336829d59d38d61907642149a566ebd270 中观察到。



Medusa 勒索软件二进制文件对以下功能采用字符串加密:


[*]目标服务
[*]目标进程
[*]文件扩展名单
[*]文件夹路径名单

下图显示了二进制文件中许多字符串解密代码块的一个代码块示例,所有这些代码块都具有类似的控制流程。每个字符串解密代码块都有两个功能。第一个函数将加密的字符串移动到内存中,如下图中 u42_push_string_medusa 所示。第二个函数名为 u42_string_decrypt_7characters,并使用密钥为 0x2E 的 XOR 加密方法。



在下图中,字符串的十六进制表示被移动并分配到函数堆栈帧上,然后十六进制字符串被移动到内存的一部分并使用取消引用的指针进行检索。



当函数 u42_push_string_medusa 完成并返回指向字符串的指针时,它最初将位于 EAX 中。EAX 将移至 ESI,然后 ESI 的内容将移至 ECX。寄存器 ECX 是传递给函数 u42_string_decrypt_7character 的参数,其中包含加密后的字符串指针。

指向字符串内容的指针用作数组来访问字符串中的每个字符,XOR 使用密钥 0x2E 对其进行解密,如下图所示。



字符串解密方法的验证如下图所示



Medusa 勒索软件使用 RSA 非对称加密来保护用于加密受害者文件的 AES256 密钥。AES256 密钥使用 32 字节密钥和 16 字节初始化向量设置,加密文件以扩展名 .medusa 重命名。


[*].dll
[*].exe
[*].lnk
[*].medusa

要跳过的文件夹路径列表如下:


[*]\Windows\
[*]\Windows.old\
[*]\PerfLogs\
[*]\MSOCache\
[*]G_skp_dir
[*]Program Files
[*]Program Files (x86)
[*]ProgramData

勒索信息 !!read_me_medusa!!.txt,其内容如下图所示。



该勒索软件将执行各种与 vssadmin 相关的操作,并使用以下命令删除自身以影响恢复和取证工作:


[*]vssadmin Delete Shadows /all /quiet
[*]vssadmin resize shadowstorage /for=C: /on=C: /maxsize=401MB
[*]vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded
[*]cmd /c ping localhost -n 3 > nul & del

吉沃运营专员 发表于 2024-1-12 16:39:34

结论

Medusa 勒索软件于 2022 年底出现并于 2023 年声名狼藉,标志着勒索软件领域的重大发展。此操作展示了复杂的传播方法,利用系统漏洞和初始访问代理,同时巧妙地通过离地生活技术避免检测。

Medusa Blog 标志着多重勒索战术的演变,该组织通过在网上公布的赎金要求对受害者采取透明的压力策略。迄今为止,已有 74 个各行各业的组织受到影响,Medusa 的不加区别的攻击凸显了此类勒索软件行为者所构成的普遍威胁。

Unit 42 研究人员的技术分析揭示了 Medusa 勒索软件组织采用的细致入微的利用策略,从在受感染服务器上放置 Webshel​​l 到部署加密内核驱动程序。这最终导致了网络扫描工具和美杜莎凝视的新颖应用,导致使用不祥的 .medusa 文件扩展名进行文件加密。因此,Medusa 勒索软件对组织构成重大威胁,需要更主动、更强大的防御策略。

IoC


[*]4d4df87cf8d8551d836f67fbde4337863bac3ff6b5cb324675054ea023b12ab6        Medusa Ransomware
[*]657c0cce98d6e73e53b4001eeea51ed91fdcf3d47a18712b6ba9c66d59677980        Medusa Ransomware
[*]7d68da8aa78929bb467682ddb080e750ed07cd21b1ee7a9f38cf2810eeb9cb95        Medusa Ransomware
[*]9144a60ac86d4c91f7553768d9bef848acd3bd9fe3e599b7ea2024a8a3115669        Medusa Ransomware
[*]736de79e0a2d08156bae608b2a3e63336829d59d38d61907642149a566ebd270        Medusa Ransomware
[*]Medusakxxtp3uo7vusntvubnytaph4d3amxivbggl3hnhpk2nmus34yd[.]onion
[*]medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd[.]onion

停止服务


[*]net stop "Acronis VSS Provider"
[*]net stop "Sophos Agent"
[*]net stop "Sophos Clean Service"
[*]net stop "Sophos Health Service"
[*]net stop "Sophos MCS Agent"
[*]net stop "Sophos MCS Client"
[*]net stop "Sophos Message Router"
[*]net stop "AcronisAgent"
[*]net stop "AcrSch2Svc"
[*]net stop "Antivirus"
[*]net stop "ARSM"
[*]net stop "BackupExecJobEngine"
[*]net stop "BackupExecRPCService"
[*]net stop "BackupExecVSSProvider"
[*]net stop "bedbg"
[*]net stop "DCAgent"
[*]net stop "EPSecurityService"
[*]net stop "EPUpdateService"
[*]net stop "EraserSvc11710"
[*]net stop "EsgShKernel"
[*]net stop "FA_Scheduler"
[*]net stop "IISAdmin"
[*]net stop "IMAP4Svc"
[*]net stop "macmnsvc"
[*]net stop "masvc"
[*]net stop "MBAMService"
[*]net stop "MBEndpointAgent"
[*]net stop "McAfeeEngineService"
[*]net stop "McAfeeFramework"
[*]net stop "McShield"
[*]net stop "McTaskManager"
[*]net stop "mfemms"
[*]net stop "mfevtp"
[*]net stop "MMS"
[*]net stop "mozyprobackup"
[*]net stop "MsDtsServer"
[*]net stop "MsDtsServer100"
[*]net stop "MsDtsServer110"
[*]net stop "MSExchangeES"
[*]net stop "MSExchangeIS"
[*]net stop "MSExchangeMGMT"
[*]net stop "MSExchangeMTA"
[*]net stop "MSExchangeSA"
[*]net stop "MSExchangeSRS"
[*]net stop "MSOLAP$SQL_2008"
[*]net stop "MSOLAP$SYSTEM_BGC"
[*]net stop "MSOLAP$TPS"
[*]net stop "MSOLAP$TPSAMA"
[*]net stop "MSSQL$BKUPEXEC"
[*]net stop "MSSQL$ECWDB2"
[*]net stop "MSSQL$PRACTICEMGT"
[*]net stop "MSSQL$PRACTTICEBGC"
[*]net stop "MSSQL$PROFXENGAGEMENT"
[*]net stop "MSSQL$SBSMONITORING"
[*]net stop "MSSQL$SHAREPOINT"
[*]net stop "MSSQL$SQL_2008"
[*]net stop "MSSQL$SYSTEM_BGC"
[*]net stop "MSSQL$TPS"
[*]net stop "MSSQL$TPSAMA"
[*]net stop "MSSQL$VEEAMSQL2008R2"
[*]net stop "MSSQL$VEEAMSQL2012"
[*]net stop "MSSQLFDLauncher"
[*]net stop "MSSQLFDLauncher$TPS"
[*]net stop "MSSQLSERVER"
[*]net stop "MySQL80"
[*]net stop "MySQL57"
[*]net stop "ntrtscan"
[*]net stop "OracleClientCache80"
[*]net stop "PDVFSService"
[*]net stop "POP3Svc"
[*]net stop "ReportServer"
[*]net stop "ReportServer$SQL_2008"
[*]net stop "ReportServer$TPS"
[*]net stop "ReportServer$TPSAMA"
[*]net stop "RESvc"
[*]net stop "sacsvr"
[*]net stop "SamSs"
[*]net stop "SAVAdminService"
[*]net stop "SAVService"
[*]net stop "SDRSVC"
[*]net stop "SepMasterService"
[*]net stop "ShMonitor"
[*]net stop "Smcinst"
[*]net stop "SmcService"
[*]net stop "SMTPSvc"
[*]net stop "SNAC"
[*]net stop "SntpService"
[*]net stop "sophossps"
[*]net stop "SQLAgent$BKUPEXEC"
[*]net stop "SQLAgent$ECWDB2"
[*]net stop "SQLAgent$PRACTTICEBGC"
[*]net stop "SQLAgent$PRACTTICEMGT"
[*]net stop "SQLAgent$SHAREPOINT"
[*]net stop "SQLAgent$SQL_2008"
[*]net stop "SQLAgent$SYSTEM_BGC"
[*]net stop "SQLAgent$TPS"
[*]net stop "SQLAgent$TPSAMA"
[*]net stop "SQLAgent$VEEAMSQL2012"
[*]net stop "SQLBrowser"
[*]net stop "SQLSafeOLRService"
[*]net stop "SQLSERVERAGENT"
[*]net stop "SQLTELEMETRY"
[*]net stop "SQLTELEMETRY$ECWDB2"
[*]net stop "SQLWriter"
[*]net stop "SstpSvc"
[*]net stop "svcGenericHost"
[*]net stop "swi_filter"
[*]net stop "swi_service"
[*]net stop "swi_update_64"
[*]net stop "TmCCSF"
[*]net stop "tmlisten"
[*]net stop "TrueKey"
[*]net stop "TrueKeyScheduler"
[*]net stop "TrueKeyServiceHelper"
[*]net stop "UI0Detect"
[*]net stop "VeeamBackupSvc"
[*]net stop "VeeamBrokerSvc"
[*]net stop "VeeamCatalogSvc"
[*]net stop "VeeamCloudSvc"
[*]net stop "VeeamDeploySvc"
[*]net stop "VeeamMountSvc"
[*]net stop "VeeamNFSSvc"
[*]net stop "VeeamRESTSvc"
[*]net stop "VeeamTransportSvc"
[*]net stop "W3Svc"
[*]net stop "wbengine"
[*]net stop "WRSVC"
[*]net stop "VeeamHvIntegrationSvc"
[*]net stop "swi_update"
[*]net stop "SQLAgent$CXDB"
[*]net stop "SQL Backups"
[*]net stop "MSSQL$PROD"
[*]net stop "Zoolz 2 Service"
[*]net stop "MSSQLServerADHelper"
[*]net stop "SQLAgent$PROD"
[*]net stop "msftesql$PROD"
[*]net stop "NetMsmqActivator"
[*]net stop "EhttpSrv"
[*]net stop "ekrn"
[*]net stop "ESHASRV"
[*]net stop "MSSQL$SOPHOS"
[*]net stop "SQLAgent$SOPHOS"
[*]net stop "AVP"
[*]net stop "klnagent"
[*]net stop "MSSQL$SQLEXPRESS"
[*]net stop "SQLAgent$SQLEXPRESS"
[*]net stop "kavfsslp"
[*]net stop "KAVFSGT"
[*]net stop "KAVFS"
[*]net stop "mfefire"

进程


[*]taskkill /F /IM zoolz.exe /T
[*]taskkill /F /IM agntsvc.exe /T
[*]taskkill /F /IM dbeng50.exe /T
[*]taskkill /F /IM dbsnmp.exe /T
[*]taskkill /F /IM encsvc.exe /T
[*]taskkill /F /IM excel.exe /T
[*]taskkill /F /IM firefoxconfig.exe /T
[*]taskkill /F /IM infopath.exe /T
[*]taskkill /F /IM isqlplussvc.exe /T
[*]taskkill /F /IM msaccess.exe /T
[*]taskkill /F /IM msftesql.exe /T
[*]taskkill /F /IM mspub.exe /T
[*]taskkill /F /IM mydesktopqos.exe /T
[*]taskkill /F /IM mydesktopservice.exe /T
[*]taskkill /F /IM mysqld.exe /T
[*]taskkill /F /IM mysqld-nt.exe /T
[*]taskkill /F /IM mysqld-opt.exe /T
[*]taskkill /F /IM ocautoupds.exe /T
[*]taskkill /F /IM ocomm.exe /T
[*]taskkill /F /IM ocssd.exe /T
[*]taskkill /F /IM onenote.exe /T
[*]taskkill /F /IM oracle.exe /T
[*]taskkill /F /IM outlook.exe /T
[*]taskkill /F /IM powerpnt.exe /T
[*]taskkill /F /IM sqbcoreservice.exe /T
[*]taskkill /F /IM sqlagent.exe /T
[*]taskkill /F /IM sqlbrowser.exe /T
[*]taskkill /F /IM sqlservr.exe /T
[*]taskkill /F /IM sqlwriter.exe /T
[*]taskkill /F /IM steam.exe /T
[*]taskkill /F /IM synctime.exe /T
[*]taskkill /F /IM tbirdconfig.exe /T
[*]taskkill /F /IM thebat.exe /T
[*]taskkill /F /IM thebat64.exe /T
[*]taskkill /F /IM thunderbird.exe /T
[*]taskkill /F /IM visio.exe /T
[*]taskkill /F /IM winword.exe /T
[*]taskkill /F /IM wordpad.exe /T
[*]taskkill /F /IM xfssvccon.exe /T
[*]taskkill /F /IM tmlisten.exe /T
[*]taskkill /F /IM PccNTMon.exe /T
[*]taskkill /F /IM CNTAoSMgr.exe /T
[*]taskkill /F /IM Ntrtscan.exe /T
[*]taskkill /F /IM mbamtray.exe /T
页: [1]
查看完整版本: Medusa 勒索软件将文件变成砖