【翻译】GhostSec的联合勒索活动及其武器库的演变
字数 2324 2025-08-23 18:31:34

GhostSec联合勒索活动及其武器库演变分析

1. 组织背景与活动概述

GhostSec是一个活跃的黑客组织,自2023年以来活动激增,与Stormous勒索软件组织合作开展双重勒索攻击。

1.1 主要攻击特点

  • 开发了GhostLocker 2.0勒索软件(Golang版本)
  • 与Stormous组织联合发起RaaS计划"STMX_GhostLocker"
  • 针对多个国家的商业垂直领域(包括中国)
  • 开发了网站攻击工具"GhostSec深度扫描工具"和"GhostPresser"

2. 勒索软件即服务(STMX_GhostLocker)

2.1 服务架构

  • 会员组织架构:提供完整RaaS服务
  • 非会员组织架构:为无计划个人提供数据出售/发布服务(PYV服务)

2.2 服务类别

  1. 付费服务:完整功能访问
  2. 免费服务:基础功能
  3. PYV服务:仅数据出售/发布

2.3 TOR网络基础设施

  • 重建了官方博客
  • 提供附属机构加入和数据披露功能
  • 显示受害者数量和信息
  • 最高赎金记录:500,000美元

3. GhostLocker 2.0勒索软件技术分析

3.1 主要特征

  • 文件扩展名:.ghost
  • 编程语言:Golang(早期版本为Python)
  • 密钥变化:AES密钥从256位改为128位
  • 持续开发:正在开发GhostLocker V3

3.2 勒索流程

  1. 加密文件并添加.ghost扩展名
  2. 释放勒索说明Ransomnote.html
  3. 要求受害者在7天内联系,否则公开数据
  4. 通过加密ID进行谈判

3.3 技术实现细节

3.3.1 持久性机制

  • 复制自身到Windows启动文件夹
  • 使用32字节随机字符串作为复制文件名

3.3.2 C2通信

  • C2服务器IP:94.103.91.246(俄罗斯莫斯科)
  • 关键URL:
    • hxxp[://]94[.]103[.]91[.]246/incrementLaunch(初始连接)
    • hxxp[://]94[.]103[.]91[.]246/addInfection(注册感染)
    • hxxp[://]94[.]103[.]91[.]246/upload(文件上传)
    • hxxp[://]94[.]103[.]91[.]246/victimchat(受害者谈判)

3.3.3 数据收集与加密

  1. 生成密钥和加密ID
  2. 收集受害者信息(IP、日期等)
  3. 创建内存中的JSON文件并发送到C2
  4. 终止定义的进程/服务/计划任务
  5. 上传目标文件(.doc, .docx, .xls, .xlsx)
  6. 加密文件(跳过C:\Windows目录)

3.4 构建器功能

  • 持久模式配置
  • 目标目录选择
  • 规避技术:
    • 查杀定义进程/服务
    • 终止计划任务
    • 绕过UAC(用户账户控制)

4. 网站攻击工具分析

4.1 GhostSec深度扫描工具

Python编写的网站扫描工具,功能包括:

4.1.1 主要模块

  1. 用户特定搜索
  2. 多网站扫描
  3. 超链接提取
  4. 深度扫描(分析网页构建技术)
  5. SSL/TLS和HSTS检测
  6. 网站内容分析(提取到文件)
  7. WhoIs查找
  8. 损坏链接检查

4.1.2 高级功能(占位符)

  • SSL分析
  • DNS查找
  • robots.txt和sitemap.xml检查
  • CVE扫描
  • 基于文件类型、日期范围和自定义标准的搜索

4.1.3 技术实现

  • 使用Beautiful Soup解析HTML/XML
  • 使用BuiltWith库检测网站技术(如Apache、JQuery、WordPress)

4.2 GhostPresser工具

针对WordPress的Shell脚本工具,功能包括:

4.2.1 主要功能

  1. 管理员绕过
  2. 登录绕过(测试cookie等)
  3. 插件管理(激活/停用)
  4. WordPress设置更改
  5. 新用户创建
  6. WordPress核心信息更新
  7. 主题安装

4.2.2 攻击能力

  • 执行XSS攻击
  • 网站破坏功能(正在开发中)

5. 攻击目标与活动

5.1 受影响国家

古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国、印度尼西亚

5.2 重点攻击目标

  • 以色列工业系统
  • 关键基础设施
  • 技术公司
  • 以色列国防部(2023年11月声称)
  • 印度尼西亚国家铁路运营商
  • 加拿大能源公司

5.3 时间线

  • 2023年7月:与Stormous合作攻击古巴各部委
  • 2023年10月:推出GhostLocker RaaS框架
  • 2023年10月14日:Stormous宣布使用GhostLocker
  • 2023年11月:发布GhostLocker 2.0
  • 2024年2月24日:启动STMX_GhostLocker计划

6. 防御建议

6.1 针对勒索软件的防护

  1. 监控Windows启动文件夹异常
  2. 检测异常网络连接(特别是俄罗斯IP)
  3. 监控.ghost扩展名文件
  4. 检测异常进程终止行为
  5. 加强UAC防护

6.2 网站防护措施

  1. 定期更新WordPress和插件
  2. 监控管理员账户异常
  3. 实施Web应用防火墙(WAF)
  4. 禁用不必要的WordPress功能
  5. 监控网站技术栈泄露

6.3 通用防护

  1. 实施多因素认证
  2. 定期备份关键数据
  3. 员工安全意识培训
  4. 监控IoC(见下文)

7. 威胁指标(IoC)

7.1 文件哈希

a1b468e9550f9960c5e60f7c52ca3c058de19d42eafa760b9d5282eb24b7c55f
8b758ccdfbfa5ff3a0b67b2063c2397531cf0f7b3d278298da76528f443779e9
36760e9bbfaf5a28ec7f85d13c7e8078a4ee4e5168b672639e97037d66eb1d17
8fa28795e4cd95e6c78c4a1308ea80674102669f9980b2006599d82eff6237b3

7.2 C2基础设施

IP: 94.103.91.246
URLs:
hxxp[://]94[.]103[.]91[.]246/incrementLaunch
hxxp[://]94[.]103[.]91[.]246/addInfection
hxxp[://]94[.]103[.]91[.]246/victimchat?id=[EncryptionID]
hxxp[://]94[.]103[.]91[.]246/login?next=
hxxp[://]94[.]103[.]91[.]246/upload

8. 总结

GhostSec与Stormous的合作标志着勒索软件攻击的升级,其武器库的持续演变(从Python到Golang,以及专门的网站攻击工具)表明这是一个技术能力较强的威胁组织。组织应特别关注其RaaS模式的扩散可能带来的更大规模攻击,以及针对网站和工业系统的双重威胁。

GhostSec联合勒索活动及其武器库演变分析 1. 组织背景与活动概述 GhostSec是一个活跃的黑客组织,自2023年以来活动激增,与Stormous勒索软件组织合作开展双重勒索攻击。 1.1 主要攻击特点 开发了GhostLocker 2.0勒索软件(Golang版本) 与Stormous组织联合发起RaaS计划"STMX_ GhostLocker" 针对多个国家的商业垂直领域(包括中国) 开发了网站攻击工具"GhostSec深度扫描工具"和"GhostPresser" 2. 勒索软件即服务(STMX_ GhostLocker) 2.1 服务架构 会员组织架构 :提供完整RaaS服务 非会员组织架构 :为无计划个人提供数据出售/发布服务(PYV服务) 2.2 服务类别 付费服务 :完整功能访问 免费服务 :基础功能 PYV服务 :仅数据出售/发布 2.3 TOR网络基础设施 重建了官方博客 提供附属机构加入和数据披露功能 显示受害者数量和信息 最高赎金记录:500,000美元 3. GhostLocker 2.0勒索软件技术分析 3.1 主要特征 文件扩展名: .ghost 编程语言:Golang(早期版本为Python) 密钥变化:AES密钥从256位改为128位 持续开发:正在开发GhostLocker V3 3.2 勒索流程 加密文件并添加 .ghost 扩展名 释放勒索说明 Ransomnote.html 要求受害者在7天内联系,否则公开数据 通过加密ID进行谈判 3.3 技术实现细节 3.3.1 持久性机制 复制自身到Windows启动文件夹 使用32字节随机字符串作为复制文件名 3.3.2 C2通信 C2服务器IP:94.103.91.246(俄罗斯莫斯科) 关键URL: hxxp[://]94[.]103[.]91[.]246/incrementLaunch (初始连接) hxxp[://]94[.]103[.]91[.]246/addInfection (注册感染) hxxp[://]94[.]103[.]91[.]246/upload (文件上传) hxxp[://]94[.]103[.]91[.]246/victimchat (受害者谈判) 3.3.3 数据收集与加密 生成密钥和加密ID 收集受害者信息(IP、日期等) 创建内存中的JSON文件并发送到C2 终止定义的进程/服务/计划任务 上传目标文件(.doc, .docx, .xls, .xlsx) 加密文件(跳过C:\Windows目录) 3.4 构建器功能 持久模式配置 目标目录选择 规避技术: 查杀定义进程/服务 终止计划任务 绕过UAC(用户账户控制) 4. 网站攻击工具分析 4.1 GhostSec深度扫描工具 Python编写的网站扫描工具,功能包括: 4.1.1 主要模块 用户特定搜索 多网站扫描 超链接提取 深度扫描(分析网页构建技术) SSL/TLS和HSTS检测 网站内容分析(提取到文件) WhoIs查找 损坏链接检查 4.1.2 高级功能(占位符) SSL分析 DNS查找 robots.txt和sitemap.xml检查 CVE扫描 基于文件类型、日期范围和自定义标准的搜索 4.1.3 技术实现 使用Beautiful Soup解析HTML/XML 使用BuiltWith库检测网站技术(如Apache、JQuery、WordPress) 4.2 GhostPresser工具 针对WordPress的Shell脚本工具,功能包括: 4.2.1 主要功能 管理员绕过 登录绕过(测试cookie等) 插件管理(激活/停用) WordPress设置更改 新用户创建 WordPress核心信息更新 主题安装 4.2.2 攻击能力 执行XSS攻击 网站破坏功能(正在开发中) 5. 攻击目标与活动 5.1 受影响国家 古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国、印度尼西亚 5.2 重点攻击目标 以色列工业系统 关键基础设施 技术公司 以色列国防部(2023年11月声称) 印度尼西亚国家铁路运营商 加拿大能源公司 5.3 时间线 2023年7月:与Stormous合作攻击古巴各部委 2023年10月:推出GhostLocker RaaS框架 2023年10月14日:Stormous宣布使用GhostLocker 2023年11月:发布GhostLocker 2.0 2024年2月24日:启动STMX_ GhostLocker计划 6. 防御建议 6.1 针对勒索软件的防护 监控Windows启动文件夹异常 检测异常网络连接(特别是俄罗斯IP) 监控 .ghost 扩展名文件 检测异常进程终止行为 加强UAC防护 6.2 网站防护措施 定期更新WordPress和插件 监控管理员账户异常 实施Web应用防火墙(WAF) 禁用不必要的WordPress功能 监控网站技术栈泄露 6.3 通用防护 实施多因素认证 定期备份关键数据 员工安全意识培训 监控IoC(见下文) 7. 威胁指标(IoC) 7.1 文件哈希 7.2 C2基础设施 8. 总结 GhostSec与Stormous的合作标志着勒索软件攻击的升级,其武器库的持续演变(从Python到Golang,以及专门的网站攻击工具)表明这是一个技术能力较强的威胁组织。组织应特别关注其RaaS模式的扩散可能带来的更大规模攻击,以及针对网站和工业系统的双重威胁。