Medusalocker

Überblick

Bei Medusa handelt es sich um einen in .NET 2.0 geschriebenen DDoS-Bot. In seiner aktuellen Ausprägung stützt sich das Protokoll zur Steuerung über die Command-and-Control-Infrastruktur auf HTTP. Der Vorgänger des Schadprogramms setzte hingegen noch auf IRC zur Anbindung an die Steuerungsserver. Über diese grundlegenden Merkmale hinaus lassen sich aus den vorliegenden Quellangaben keine weiteren belegbaren Aussagen zur Ausrichtung oder zum bevorzugten Zielspektrum der Gruppe treffen.

Taktiken & Vorgehen

Zur Verbreitung im Netzwerk und zur Ausweitung von Zugriffen kommt ein Bündel bekannter Werkzeuge zum Einsatz. Zugangsdaten werden mit Mimikatz und über Invoke-TheHash abgegriffen beziehungsweise weiterverwendet. Für die Aufklärung des Netzwerks dienen Advanced IP Scanner, Advanced Port Scanner und SoftPerfect NetScan. Die seitliche Bewegung erfolgt mittels PsExec, Impacket sowie Remote Desktop Plus (RDP+). Mit HRSword, PCHunter und ProcessHacker werden Schutzmechanismen und Prozesse manipuliert. Zur Rechteausweitung wird die Technik des Parent PID Spoofing genutzt, bei der die Herkunft eines Prozesses über einen vorgetäuschten übergeordneten Prozess verschleiert wird.

Schutzmaßnahmen

Der Zugriff auf Anmeldeinformationen sollte eingeschränkt und der Speicher sensibler Prozesse abgesichert werden, um den Einsatz von Mimikatz und Invoke-TheHash zu erschweren. Fernzugänge über Remote Desktop Plus (RDP+) sollten über abgesicherte Verbindungen und Mehr-Faktor-Authentisierung geschützt werden. Der Einsatz von Administrationswerkzeugen wie PsExec und Impacket sowie von Netzwerk-Scannern wie Advanced IP Scanner, Advanced Port Scanner und SoftPerfect NetScan sollte protokolliert und auf auffällige Nutzung überwacht werden. Der Start von Werkzeugen wie HRSword, PCHunter und ProcessHacker sollte unterbunden und Prozessabstammungen sollten überwacht werden, um Parent PID Spoofing zu erkennen.