#StopRansomware: Ghost（Cring）勒索软件

摘要

联邦调查局（FBI）、网络安全和基础设施安全局（CISA）以及多州信息共享与分析中心（MS-ISAC）发布此联合咨询，传播已知的Ghost（Cring）勒索软件IOC和TTP，这些信息是通过FBI调查在2025年1月确定的。

自2021年初开始，Ghost攻击者开始攻击运行过时版本软件和固件的互联网面向服务的受害者。这种对包含漏洞网络的无差别攻击已导致70多个国家的组织受到侵害，包括中国的组织。位于中国的Ghost攻击者进行这些广泛攻击是为了经济利益。受影响的受害者包括关键基础设施、学校和大学、医疗保健、政府网络、宗教机构、技术和制造公司以及众多中小型企业。

技术细节

初始访问

Ghost攻击者通过利用与多个CVE相关的公共面向应用程序获得对网络的初始访问权限[T1190]。他们的方法包括利用Fortinet FortiOS设备（CVE-2018-13379）、运行Adobe ColdFusion（CVE-2010-2861和CVE-2009-3960）、Microsoft SharePoint（CVE-2019-0604）和Microsoft Exchange（CVE-2021-34473、CVE-2021-34523和CVE-2021-31207——通常称为ProxyShell攻击链）的服务器中的漏洞。

执行

观察到Ghost攻击者将Web Shell [T1505.003]上传到受感染的服务器，并利用Windows命令提示符[T1059.003]和/或PowerShell [T1059.001]下载和执行Cobalt Strike Beacon恶意软件[T1105]，然后将其植入受害者系统。

持久性

持久性不是Ghost攻击者的主要关注点，因为他们通常只在受害者网络上停留几天。在多个实例中，观察到他们在同一天内从初始入侵进行到勒索软件的部署。

权限提升

Ghost攻击者经常依赖内置的Cobalt Strike功能来窃取在SYSTEM用户上下文下运行的进程令牌，以模拟SYSTEM用户，通常是为了以提升的权限第二次运行Beacon [T1134.001]。

防御规避

Ghost攻击者使用其通过Cobalt Strike的访问权限来显示运行进程列表[T1057]，以确定正在运行哪个防病毒软件[T1518.001]，以便可以禁用它[T1562.001]。Ghost经常运行命令在网络连接的设备上禁用Windows Defender。

横向移动

Ghost攻击者使用提升的访问权限和Windows管理规范命令行（WMIC）[T1047]在受害者网络上的其他系统上运行PowerShell命令——通常是为了启动额外的Cobalt Strike Beacon感染。

影响和加密

Ghost攻击者使用Cring.exe、Ghost.exe、ElysiumO.exe和Locker.exe，这些都是具有类似功能的勒索软件可执行文件。Ghost变体可用于加密特定目录或整个系统的存储[T1486]。

妥协指标（IOC）

表1：Ghost攻击者利用的工具

表2：与Ghost勒索软件活动相关的MD5文件哈希

MITRE ATT&CK战术和技术

表4：初始访问

缓解措施

FBI、CISA和MS-ISAC建议组织参考他们的#StopRansomware指南并实施以下缓解措施，以基于Ghost勒索软件活动改善网络安全状况：

• 维护定期系统备份，这些备份应已知良好并离线存储或与源系统分段[CPG 2.R]
• 通过在风险知情的时间范围内及时应用安全更新来修补已知漏洞[CPG 1.E]
• 分段网络以限制从初始受感染设备和同一组织中的其他设备进行横向移动[CPG 2.F]
• 要求对所有特权账户和电子邮件服务账户使用防网络钓鱼MFA
• 监控PowerShell的未经授权使用
• 实施应用程序、脚本和网络流量的允许列表，以防止未经授权的执行和访问[CPG 3.A]

报告

FBI、CISA和MS-ISAC不鼓励支付赎金，因为付款不能保证受害者文件将被恢复。无论您或您的组织是否决定支付赎金，FBI和CISA敦促您及时向FBI的互联网犯罪投诉中心（IC3）、当地FBI外地办事处或CISA报告勒索软件事件。