#StopRansomware: Ghost勒索软件技术分析
概述
Ghost勒索软件(又称Cring)是一个活跃的勒索软件组织,自2021年初开始攻击运行过时软件和固件的互联网 facing服务。该组织利用公开可用的代码利用常见漏洞和暴露(CVE)获取面向互联网的服务器的访问权限。
技术细节
初始访问
Ghost攻击者通过利用与多个CVE相关的面向公众的应用程序获得对网络的初始访问权限:
- Fortinet FortiOS设备(CVE-2018-13379)
- 运行Adobe ColdFusion的服务器(CVE-2010-2861和CVE-2009-3960)
- Microsoft SharePoint(CVE-2019-0604)
- Microsoft Exchange(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207)
执行
攻击者将Web Shell上传到受感染的服务器,并利用Windows命令提示符和/或PowerShell下载并执行Cobalt Strike Beacon恶意软件。
持久化
Ghost攻击者通常只在受害者网络上停留几天,但在某些情况下会创建新的本地和域账户,更改现有账户密码,并在受害者Web服务器上部署Web Shell。
权限提升
攻击者使用内置的Cobalt Strike功能窃取在SYSTEM用户上下文下运行的进程令牌,还使用多个开源工具进行权限提升:
- SharpZeroLogon
- SharpGPPPass
- BadPotato
- GodPotato
防御规避
攻击者使用Cobalt Strike显示运行进程列表,确定正在运行的防病毒软件并将其禁用。经常运行命令禁用Windows Defender。
横向移动
Ghost攻击者使用提升的访问权限和Windows管理规范命令行(WMIC)在受害者网络中的其他系统上运行PowerShell命令,通常用于启动额外的Cobalt Strike Beacon感染。
数据加密
Ghost攻击者使用Cring.exe、Ghost.exe、ElysiumO.exe和Locker.exe,这些都是具有类似功能的勒索软件可执行文件。这些勒索软件有效载荷清除Windows事件日志,禁用卷影复制服务,并删除影子副本以抑制系统恢复尝试。
缓解措施
- 维护定期系统备份:存储在源系统之外且无法被潜在受损网络设备更改或加密的备份
- 修补已知漏洞:在风险知情的时间范围内及时应用安全更新
- 网络分段:限制从初始受感染设备和同一组织中的其他设备进行横向移动
- 要求网络钓鱼 resistant MFA:用于访问所有特权账户和电子邮件服务账户
- 监控PowerShell的未授权使用
- 实施应用程序允许列表
- 限制服务暴露:禁用未使用的端口,如RDP 3389、FTP 21和SMB 445
妥协指标(IOC)
工具列表
| 名称 | 描述 |
|---|---|
| Cobalt Strike | 渗透测试软件,Ghost攻击者使用未经授权的版本 |
| IOX | 开源代理,用于从内部受害者设备建立到Ghost C2服务器的反向代理 |
| SharpShares.exe | 用于枚举域中可访问的网络共享 |
文件哈希
| 文件名 | MD5文件哈希 |
|---|---|
| Cring.exe | c5d712f82d5d37bb284acd4468ab3533 |
| Ghost.exe | 34b3009590ec2d361f07cac320671410 |
MITRE ATT&CK技术映射
攻击者使用了多种MITRE ATT&CK技术,包括:
- 初始访问:T1190 - 利用面向公众的应用程序
- 执行:T1059.001 - PowerShell,T1059.003 - Windows命令Shell
- 持久化:T1505.003 - Web Shell
- 防御规避:T1562.001 - 禁用或修改工具
- 影响:T1486 - 数据加密影响
组织应参考这些技术映射来测试和验证其安全控制措施的有效性。