网络安全研究人员近日成功揭露了当今最臭名昭著的勒索软件运营服务器之一的真实身份。Medusa 勒索软件组织长期通过 Tor 隐藏服务保持相对匿名性,但研究人员通过利用其基础设施中的漏洞,成功破解了该组织的伪装。
这一发现具有特殊意义,因为这是少数通过技术漏洞(而非操作安全失误)成功突破 Tor 网络匿名性保护的网络犯罪案例。
自 2019 年出现以来,Medusa Locker 已成为网络安全领域的重要威胁。该组织主要针对医疗、教育和制造行业的企业机构,过去六年已记录在案的攻击事件达数百起。其典型作案手法包括运营基于 Tor 的数据泄露网站,公布拒绝支付赎金受害者的敏感数据,这种双重勒索策略已被证明对许多机构行之有效。 漏洞发现过程
Covsec 研究人员在 Medusa 的勒索软件博客平台中发现了一个关键漏洞,使他们能够绕过 Tor 网络提供的保护。通过利用这个高危漏洞,安全团队成功实施了权限提升攻击,最终揭示了隐藏服务的真实 IP 地址:95.143.191.148。
这一发现为研究支持 Medusa 运营的基础设施提供了前所未有的视角。该服务器通过俄罗斯 SELECTEL 公司(AS49505)的路由网络托管,运行 Ubuntu Linux 系统和 OpenSSH 8.9p1,开放了三个服务端口:22 端口的 SSH、80 端口的 HTTP 以及 3000 端口的额外 HTTP 服务。 技术利用细节
研究人员利用了 Medusa 组织用于展示受害者的博客平台中的漏洞。虽然出于道德考虑无法分享具体的漏洞利用代码,但该过程涉及服务器端请求伪造(SSRF)漏洞,最终通过执行以下命令验证了真实 IP 地址:
curl -s https://ifconfig.me
这个简单的命令在被入侵的服务器上执行后,返回的是真实的外部 IP 地址而非洋葱路由地址。研究人员使用互联网设备搜索引擎 Censys 验证了这一发现。
发表于 
