日前,美國聯邦調查局(FBI)與網絡安全和基礎設施安全局(CISA)針對Royal勒索軟體釋出聯合安全報告,指出Royal勒索軟體正鎖定許多重要基礎設施部門(包括制造、通信、醫療保健和教育機關等)發起攻擊。光2月就至少19次攻擊事件,贖金從100萬美元到1,100萬美元不等。FBI和CISA建議組織采取防範措施并盡快報告政府機關,同時不要付贖金。
随着新型勒索軟體的快速蔓延,工業企業資料洩露風險不斷上升,勒索金額在數百萬到近億美元的勒索案件不斷出現,勒索軟體給工業企業來的影響範圍越來越廣,危害性也越來越大。為提高工業企業使用者的安全防範意識和針對勒索軟體提供有效的全方位監測與防禦思路。融安網絡工控安全實驗室針對Royal勒索軟體進行深度分析,包括Royal勒索軟體的背景介紹、擷取樣本檔案的行為分析、使用的技術,以及提供一些防禦建議,以應對Royal勒索軟體對關鍵基礎設施和工業企業帶來的風險。
一.Royal勒索軟體背景介紹
Royal勒索軟體組織最早于2022年初開始活躍,最初被稱為Aeon,使用的是其他勒索家族(如 BlackCat)的加密器,但該組織很快開發了自己的檔案加密器。從2022年9月開始,該組織更名為“Royal”,并使用新的加密器生成同名的勒索票據。與其他勒索軟體營運不同,Royal勒索軟體并非以勒索軟體即服務(RaaS)的方式營運,而是由為其他團體工作具有豐富經驗的攻擊者組成。
去年12月9日,美國衛生與公衆服務部(HHS)向該國的醫療保健組織發出了新警告,稱該國的醫療保健組織正在遭受來自一個相對較新的組織Royal勒索軟體組織的持續攻擊。12月27,Royal聲稱攻擊了Intrado通信公司。該組織在加密目标的企業網絡系統後,贖金要求從25萬美元到200萬美元不等。2023年2月,Royal勒索軟體出現了Linux版本變種,特别針對VMware ESXi虛拟機。新的Linux Royal勒索軟體變種加密檔案時,會将“.royal_u”擴充名附加到 VM 上的所有加密檔案。
二.Royal勒索軟體樣本檔案分析
樣本檔案标簽:
攻擊流程:
Royal勒索軟體通過網絡釣魚,僞裝成合法的應用程式等方式誘騙受害者下載下傳執行。Royal勒索軟體執行時會通過指令行啟動,然後删除所有卷影副本,并設定不加密特定的檔案擴充名和檔案夾。在設定初始部分之後,将與網絡資源建立連接配接,枚舉網絡資源,對在本地網絡和本地驅動器中找到的網絡共享進行加密。
在加密過程中,該勒索軟體使用OpenSSL庫和AES、RSA算法。OpenSSL庫用于使用AES算法對檔案資料進行加密,然後使用可執行檔案中寫死的RSA公鑰對随機生成的AES密鑰進行加密,并在加密檔案尾部寫入被加密過的密鑰,加密方式可以根據檔案的大小和“-ep”參數來決定是否進行部分或全部檔案加密。加密完成後,檔案的擴充名更改為“.royal_w”,其它變種中還存在“.royal、.royal_u”等字尾類型。最後在檔案夾中建立勒索贖金提示資訊檔案。
樣本檔案行為分析:
Royal勒索軟體執行時使用GetCommandLineW API來擷取程序的指令行參數,“-path”參數指定加密的路徑,“-id”參數由随機的32個字元的字元串組成,用于辨別受害者計算機,“-ep”參數指定加密檔案内容的百分比,決定是否進行全部或部分檔案加密,例如,将“-ep”參數設定為20,那麼惡意軟體隻加密檔案的20%
建立vssadmin.exe程序删除所有的卷影副本,指令為delete shadows /all /quiet
設定不加密的檔案擴充名和檔案目錄清單如下:
與網絡資源建立連接配接,使用GetIpAddrTable擷取 192. /10. /100. /172.開頭的IP位址
然後調用NetShareEnum枚舉指定IP 位址的網絡資源,對在本地網絡和本地驅動器中找到的網絡共享進行加密。如果枚舉到“admin$”和“IPC$”的網絡共享,則不進行加密
加密檔案,勒索軟體使用OpenSSL庫和AES、RSA算法,在可執行檔案中寫死的RSA公鑰
加密檔案時首先使用ReadFile讀取目标檔案,然後使用WriteFile和SetFilePointerEx對内容進行加密并将加密後的資料寫入指定位置。加密完成後,調用MoveFileExW将檔案擴充名更改為“.royal_w”
最後在檔案夾種建立勒索贖金提示資訊檔案“README.TXT”,内容如下:
樣本檔案中使用的MITRE ATT&CK技術行為描述如下:
1.執行
指令行界面(T1059)
2.發現
系統網絡配置發現(T1016)
網絡服務發現(T1046)
程序發現(T1057)
系統資訊發現(T1082)
網絡共享發現(T1135)
3.影響
為影響而加密的資料(T1486)
服務停止(T1489)
禁止系統恢複(T1490)
三.融安網絡産品解決方案
融安網絡的工業防火牆、工業入侵檢測系統、惡意代碼采集裝置、漏洞挖掘檢測平台、工控網絡監測審計系統、工業主機安全加強系統等一系列安全防護産品均支援檢測和攔截Royal勒索軟體及Linux變種的入侵攻擊活動,産品内置了龐大的入侵行為特征庫,具有檢測識别OT資産中存在的各類已知漏洞和缺陷,還能利用創新的自定義智能模糊測試引擎等多種手段來識别和挖掘潛在的未知漏洞,判别漏洞帶來的風險級别,可形成集風險識别、威脅檢測、預警響應、安全加強與應急處置的防護體系,為工業企業的系統裝置安全和穩定保駕護航。
工業網絡入侵檢測系統成功攔截Royal勒索軟體及Linux變種如下:
四.防禦建議:
1.對于廣大政企使用者,可根據自身場景部署适合的安全産品;
2.避免打開來源不明的郵件以及附件,如一定要打開未知檔案,請先使用防毒軟體進行掃描;
3.避免點選來源不明的郵件中包含的連結;
4.使用官方和經過驗證的下載下傳管道,對下載下傳的程式在使用前進行安全性驗證;
5. 重要資料的共享檔案夾應設定通路權限控制;
6. 重要的資料進行定期備份。