Ghost(Cring)勒索病毒样本分析

最近几年勒索病毒已经席卷全球，全球范围内越来越多的政府、企业，组织机构等受到勒索病毒黑客组织的攻击，几乎每天都有企业被勒索病毒攻击的新闻被曝光，可能还有更多的企业被勒索病毒攻击之后，选择默默交纳赎金，由于勒索病毒太过于暴利，从而导致越来越多的黑客组织开始使用勒索病毒攻击。

Ghost勒索病毒黑客组织己经攻击了全球70多个国家及地区的基础设施，受影响的其他行业包括医疗保健、政府、教育、技术、制造业以及众多中小型企业。

Ghost勒索病毒黑客组织首次于2021年被曝光，攻击者首先通过投放定制的Mimikatz样本，然后安装CobaltStrike后门，并使用合法的Windows  CertUtil证书管理器部署勒索软件负载以绕过安全软件。

Ghost勒索病毒黑客组织曾使用的漏洞包含：

CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207。

参考链接：

https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries/

笔者从微步威胁情报平台下载到Ghost(Cring)勒索病毒样本，并对样本进行了相关分析。

原文始发于微信公众号（安全分析与研究）：Ghost(Cring)勒索病毒样本分析