#StopRansomware:Ghost(Cring)勒索软件 | CISA
摘要
联邦调查局(FBI)、网络安全和基础设施安全局(CISA)以及多州信息共享与分析中心(MS-ISAC)发布此联合咨询,以传播已知的Ghost(Cring)勒索软件IOC和TTP,这些信息是通过FBI调查截至2025年1月发现的。
自2021年初开始,Ghost攻击者开始攻击其面向互联网的服务运行过时版本软件和固件的受害者。这种对包含漏洞的网络的不加区别的攻击已导致70多个国家的组织受到侵害,包括中国的组织。位于中国的Ghost攻击者为了经济利益进行这些广泛的攻击。受影响的受害者包括关键基础设施、学校和大学、医疗保健、政府网络、宗教机构、技术和制造公司以及众多中小型企业。
技术细节
初始访问
FBI观察到Ghost攻击者通过利用与多个CVE相关的面向公众的应用程序获得对网络的初始访问权限[T1190]。他们的方法包括利用Fortinet FortiOS设备(CVE-2018-13379)、运行Adobe ColdFusion(CVE-2010-2861和CVE-2009-3960)、Microsoft SharePoint(CVE-2019-0604)和Microsoft Exchange(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207——通常称为ProxyShell攻击链)的服务器中的漏洞。
执行
观察到Ghost攻击者将Web Shell [T1505.003]上传到受感染的服务器,并利用Windows命令提示符[T1059.003]和/或PowerShell [T1059.001]下载并执行Cobalt Strike Beacon恶意软件[T1105],然后将其植入受害者系统。尽管Ghost攻击者恶意实施,但Cobalt Strike是一种商业可用的对手模拟工具,通常用于测试组织的安全控制。
持久化
持久化不是Ghost攻击者的主要焦点,因为他们通常只在受害者网络上停留几天。在多个实例中,观察到他们在同一天内从初始入侵进行到勒索软件的部署。然而,Ghost攻击者零星地创建新的本地[T1136.001]和域账户[T1136.002]并更改现有账户的密码[T1098]。2024年,观察到Ghost攻击者在受害者Web服务器上部署Web Shell [T1505.003]。
权限提升
Ghost攻击者通常依赖内置的Cobalt Strike功能来窃取在SYSTEM用户上下文下运行的进程令牌,以模拟SYSTEM用户,通常目的是以提升的权限第二次运行Beacon [T1134.001]。
观察到Ghost攻击者使用多个开源工具尝试通过利用进行权限提升[T1068],例如“SharpZeroLogon”、“SharpGPPPass”、“BadPotato”和“GodPotato”。这些权限提升工具通常不会被拥有合法访问权限和凭据的个人使用。
凭证访问
Ghost攻击者使用内置的Cobalt Strike功能“hashdump”或Mimikatz [T1003]来收集密码和/或密码哈希,以帮助他们进行未经授权的登录和权限提升或转移到其他受害者设备。
防御规避
Ghost攻击者使用他们通过Cobalt Strike的访问权限来显示运行进程列表[T1057],以确定正在运行哪种防病毒软件[T1518.001],以便可以禁用它[T1562.001]。Ghost经常运行命令以在网络连接的设备上禁用Windows Defender。此命令中使用的选项是:Set-MpPreference -DisableRealtimeMonitoring 1 -DisableIntrusionPreventionSystem 1 -DisableBehaviorMonitoring 1 -DisableScriptScanning 1 -DisableIOAVProtection 1 -EnableControlledFolderAccess Disabled -MAPSReporting Disabled -SubmitSamplesConsent NeverSend。
发现
观察到Ghost攻击者使用其他内置的Cobalt Strike命令进行域账户发现[T1087.002],使用诸如“SharpShares”之类的开源工具进行网络共享发现[T1135],以及使用“Ladon 911”和“SharpNBTScan”进行远程系统发现[T1018]。网络管理员不太可能使用这些工具进行网络共享或远程系统发现。
横向移动
Ghost攻击者使用提升的访问权限和Windows管理规范命令行(WMIC)[T1047]在受害者网络中的其他系统上运行PowerShell命令——通常是为了启动额外的Cobalt Strike Beacon感染。相关的编码字符串是一个base64 PowerShell命令,总是以以下内容开头:powershell -nop -w hidden -encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0AZQBtAG8AcgB5AFMAdAByAGUAYQBtACgALABbAEMAbwBuAHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAcgBpAG4AZwAoACIA… [T1132.001][T1564.003]。
此字符串解码为“$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String(""”,并参与在目标机器内存中执行Cobalt Strike。
在横向移动尝试不成功的情况下,观察到Ghost攻击者放弃对受害者的攻击。
数据外泄
Ghost勒索说明通常声称如果未支付赎金,被外泄的数据将被出售。然而,Ghost攻击者不经常外泄大量信息或文件,例如知识产权或个人可识别信息(PII),这些信息如果泄露会对受害者造成重大伤害。FBI观察到有限的数据下载到Cobalt Strike团队服务器[T1041]。受害者和其他受信任的第三方报告了有限使用Mega.nz [T1567.002]和安装的Web Shell进行类似的有限数据外泄。注意:典型的数据外泄量小于几百GB的数据。
命令与控制
Ghost攻击者严重依赖Cobalt Strike Beacon恶意软件和Cobalt Strike团队服务器进行命令与控制(C2)操作,这些操作使用超文本传输协议(HTTP)和超文本传输安全协议(HTTPS)[T1071.001]。Ghost很少注册与其C2服务器相关的域。相反,为下载和执行Beacon恶意软件而连接到C2服务器的统一资源标识符(URI)直接引用C2服务器的IP地址。例如,http://xxx.xxx.xxx.xxx:80/Google.com,其中xxx.xxx.xxx.xxx代表C2服务器的IP地址。
对于与受害者的电子邮件通信,Ghost攻击者使用包含流量加密功能的合法电子邮件服务。[T1573] Ghost攻击者被观察到使用的一些电子邮件服务示例是Tutanota、Skiff、ProtonMail、Onionmail和Mailfence。
影响与加密
Ghost攻击者使用Cring.exe、Ghost.exe、ElysiumO.exe和Locker.exe,这些都是具有类似功能的勒索软件可执行文件。Ghost变体可用于加密特定目录或整个系统的存储[T1486]。可执行文件操作的性质基于执行勒索软件文件时使用的命令行参数。在加密过程中排除各种文件扩展名和系统文件夹,以避免加密会使目标设备无法操作的文件。
这些勒索软件有效负载清除Windows事件日志[T1070.001],禁用卷影复制服务,并删除影子副本以抑制系统恢复尝试[T1490]。使用Ghost勒索软件变体加密的数据无法在没有解密密钥的情况下恢复。Ghost攻击者扣押加密数据以索取赎金,通常要求数万至数十万美元的加密货币以换取解密软件[T1486]。
Ghost勒索软件活动的影响因受害者而异。当面对强化系统时,例如那些通过适当的网络分段防止横向移动到其他设备的系统,Ghost攻击者倾向于转移到其他目标。
入侵指标(IOC)
表1:Ghost攻击者利用的工具
| 名称 | 描述 | 来源 |
|---|---|---|
| Cobalt Strike | Cobalt Strike是渗透测试软件。Ghost攻击者使用未经授权的Cobalt Strike版本。 | N/A |
| IOX | 开源代理,用于从内部受害者设备建立到Ghost C2服务器的反向代理。 | github[.]com/EddieIvan01/iox |
| SharpShares.exe | 用于枚举域中可访问的网络共享。Ghost攻击者主要将其用于主机发现。 | github[.]com/mitchmoser/SharpShares |
| SharpZeroLogon.exe | 尝试利用CVE-2020-1472并针对目标域控制器运行。 | github[.]com/leitosama/SharpZeroLogon |
| SharpGPPPass.exe | 尝试利用CVE-2014-1812并针对通过组策略首选项创建的可能包含密码的XML文件。 | N/A |
| SpnDump.exe | 用于列出服务主体名称标识符,Ghost攻击者将其用于服务和主机名枚举。 | N/A |
| NBT.exe | SharpNBTScan的编译版本,一个NetBIOS扫描器。Ghost攻击者使用此工具进行主机名和IP地址枚举。 | github[.]com/BronzeTicket/SharpNBTScan |
| BadPotato.exe | 用于权限提升的利用工具。 | github[.]com/BeichenDream/BadPotato |
| God.exe | GodPotato的编译版本,用于权限提升。 | github[.]com/BeichenDream/GodPotato |
| HFS(HTTP文件服务器) | 一个便携式Web服务器程序,Ghost攻击者使用它来托管文件以进行远程访问和外泄。 | rejitto[.]com/hfs |
| Ladon 911 | 一个多功能扫描和利用工具,Ghost攻击者经常使用MS17010选项来扫描与CVE-2017-0143和CVE-2017-0144相关的SMB漏洞。 | github[.]com/k8gege/Ladon |
| Web Shell | 安装在Web服务器上的后门,允许执行命令并促进持久访问。 | Slight variation of github[.]com/BeichenDream/Chunk-Proxy/blob/main/proxy.aspx |
表2:与Ghost勒索软件活动相关的MD5文件哈希
| 文件名 | MD5文件哈希 |
|---|---|
| Cring.exe | c5d712f82d5d37bb284acd4468ab3533 |
| Ghost.exe | 34b3009590ec2d361f07cac320671410, d9c019182d88290e5489cdf3b607f982 |
| ElysiumO.exe | 29e44e8994197bdb0c2be6fc5dfc15c2, c9e35b5c1dc8856da25965b385a26ec4, d1c5e7b8e937625891707f8b4b594314 |
| Locker.exe | ef6a213f59f3fbee2894bd6734bbaed2 |
| iex.txt, pro.txt (IOX) | ac58a214ce7deb3a578c10b97f93d9c3 |
| x86.log (IOX) | c3b8f6d102393b4542e9f951c9435255, 0a5c4ad3ec240fbfd00bdc1d36bd54eb |
| sp.txt (IOX) | ff52fdf84448277b1bc121f592f753c5 |
| main.txt (IOX) | a2fd181f57548c215ac6891d000ec6b9 |
| isx.txt (IOX) | 625bd7275e1892eac50a22f8b4a6355d |
| sock.txt (IOX) | db38ef2e3d4d8cb785df48f458b35090 |
缓解措施
FBI、CISA和MS-ISAC建议组织参考他们的#StopRansomware指南,并实施以下缓解措施,以基于Ghost勒索软件活动改善网络安全状况。这些缓解措施与CISA和国家标准与技术研究院(NIST)制定的跨部门网络安全性能目标(CPG)保持一致。CPG提供了CISA和NIST建议所有组织实施的最低实践和保护集。CISA和NIST基于现有的网络安全框架和指南来保护 against 最常见和最具影响力的威胁、战术、技术和程序。访问CISA的CPG网页以获取有关CPG的更多信息,包括额外推荐的基线保护。
- 维护定期系统备份,这些备份是已知良好的,并离线存储或与源系统分段[CPG 2.R]。备份未受勒索软件攻击影响的Ghost勒索软件受害者通常能够恢复操作,而无需联系Ghost攻击者或支付赎金。
- 通过在对风险知情的时间范围内及时应用安全更新来修补已知漏洞,以更新操作系统、软件和固件[CPG 1.E]。
- 分段网络以限制从初始受感染设备和同一组织中的其他设备进行横向移动[CPG 2.F]。
- 要求对所有特权账户和电子邮件服务账户进行钓鱼 resistant MFA。
- 培训用户识别钓鱼尝试。
- 监控PowerShell的未经授权使用。Ghost攻击者利用PowerShell进行恶意目的,尽管它通常是管理员和防御者用于管理系统资源的有用工具。有关更多信息,请访问NSA和CISA关于PowerShell最佳实践的联合指南。
- 在授予权限时实施最小权限原则,以便需要访问PowerShell的员工与组织业务需求保持一致。
- 对应用程序、脚本和网络流量实施允许列表,以防止未经授权的执行和访问[CPG 3.A]。
- 识别、警报和调查异常网络活动。勒索软件活动在攻击链的所有阶段都会产生异常网络流量。这包括运行扫描以发现其他网络连接设备、运行命令以列出、添加或更改管理员账户、使用PowerShell下载和执行远程程序以及运行网络上通常看不到的脚本。能够成功识别和调查此活动的组织更能在勒索软件执行之前中断恶意活动[CPG 3.A]。
- 限制服务的暴露,通过禁用未使用的端口,例如RDP 3398、FTP 21和SMB 445,并通过安全配置的VPN或防火墙限制对基本服务的访问。
- 通过实施高级过滤、阻止恶意附件以及启用DMARC、DKIM和SPF来增强电子邮件安全性以防止欺骗[CPG 2.M]。
验证安全控制
除了应用缓解措施外,FBI、CISA和MS-ISAC还建议针对本咨询中映射到MITRE ATT&CK for Enterprise框架的威胁行为来演练、测试和验证组织的安全程序。
开始:
- 选择本咨询中描述的ATT&CK技术(见表4至表13)。
- 使您的安全技术与该技术对齐。
- 测试您的技术对抗该技术。
- 分析您的检测和预防技术的性能。
- 对所有安全技术重复此过程以获得一组全面的性能数据。
- 基于此过程生成的数据调整您的安全程序,包括人员、流程和技术。
报告
您的组织没有义务回应或向FBI提供信息以回应此联合咨询。如果在审查所提供的信息后,您的组织决定向FBI提供信息,则报告必须符合适用的州和联邦法律。
FBI对可以共享的任何信息感兴趣,包括显示与外国IP地址通信的日志、勒索说明样本、与威胁行为者的通信、比特币钱包信息和/或解密器文件。
其他感兴趣的细节包括目标公司联系人、感染状态和范围、估计损失、运营影响、感染日期、检测日期、初始攻击向量以及基于主机和网络的指标。
FBI、CISA和MS-ISAC不鼓励支付赎金,因为付款不能保证受害者的文件将被恢复。此外,付款还可能使对手胆敢针对其他组织,鼓励其他犯罪行为人参与分发勒索软件,和/或资助非法活动。无论您或您的组织是否决定支付赎金,FBI和CISA敦促您及时向FBI的互联网犯罪投诉中心(IC3)、当地FBI外地办事处或CISA通过该机构的事件报告系统或其24/7运营中心(report@cisa.gov)或拨打1-844-Say-CISA(1-844-729-2472)报告勒索软件事件。