日前,美国联邦调查局(FBI)与网络安全和基础设施安全局(CISA)针对Royal勒索软件发布联合安全报告,指出Royal勒索软件正锁定许多重要基础设施部门(包括制造、通信、医疗保健和教育单位等)发起攻击。光2月就至少19次攻击事件,赎金从100万美元到1,100万美元不等。FBI和CISA建议组织采取防范措施并尽快报告政府单位,同时不要付赎金。
随着新型勒索软件的快速蔓延,工业企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现,勒索软件给工业企业来的影响范围越来越广,危害性也越来越大。为提高工业企业用户的安全防范意识和针对勒索软件提供有效的全方位监测与防御思路。融安网络工控安全实验室针对Royal勒索软件进行深度分析,包括Royal勒索软件的背景介绍、获取样本文件的行为分析、使用的技术,以及提供一些防御建议,以应对Royal勒索软件对关键基础设施和工业企业带来的风险。
一.Royal勒索软件背景介绍
Royal勒索软件组织最早于2022年初开始活跃,最初被称为Aeon,使用的是其他勒索家族(如 BlackCat)的加密器,但该组织很快开发了自己的文件加密器。从2022年9月开始,该组织更名为“Royal”,并使用新的加密器生成同名的勒索票据。与其他勒索软件运营不同,Royal勒索软件并非以勒索软件即服务(RaaS)的方式运营,而是由为其他团体工作具有丰富经验的攻击者组成。
去年12月9日,美国卫生与公众服务部(HHS)向该国的医疗保健组织发出了新警告,称该国的医疗保健组织正在遭受来自一个相对较新的组织Royal勒索软件组织的持续攻击。12月27,Royal声称攻击了Intrado通信公司。该组织在加密目标的企业网络系统后,赎金要求从25万美元到200万美元不等。2023年2月,Royal勒索软件出现了Linux版本变种,特别针对VMware ESXi虚拟机。新的Linux Royal勒索软件变种加密文件时,会将“.royal_u”扩展名附加到 VM 上的所有加密文件。
二.Royal勒索软件样本文件分析
样本文件标签:
攻击流程:
Royal勒索软件通过网络钓鱼,伪装成合法的应用程序等方式诱骗受害者下载执行。Royal勒索软件执行时会通过命令行启动,然后删除所有卷影副本,并设置不加密特定的文件扩展名和文件夹。在设置初始部分之后,将与网络资源建立连接,枚举网络资源,对在本地网络和本地驱动器中找到的网络共享进行加密。
在加密过程中,该勒索软件使用OpenSSL库和AES、RSA算法。OpenSSL库用于使用AES算法对文件数据进行加密,然后使用可执行文件中硬编码的RSA公钥对随机生成的AES密钥进行加密,并在加密文件尾部写入被加密过的密钥,加密方式可以根据文件的大小和“-ep”参数来决定是否进行部分或全部文件加密。加密完成后,文件的扩展名更改为“.royal_w”,其它变种中还存在“.royal、.royal_u”等后缀类型。最后在文件夹中创建勒索赎金提示信息文件。
样本文件行为分析:
Royal勒索软件执行时使用GetCommandLineW API来获取进程的命令行参数,“-path”参数指定加密的路径,“-id”参数由随机的32个字符的字符串组成,用于标识受害者计算机,“-ep”参数指定加密文件内容的百分比,决定是否进行全部或部分文件加密,例如,将“-ep”参数设置为20,那么恶意软件只加密文件的20%
创建vssadmin.exe进程删除所有的卷影副本,命令为delete shadows /all /quiet
设置不加密的文件扩展名和文件目录列表如下:
与网络资源建立连接,使用GetIpAddrTable获取 192. /10. /100. /172.开头的IP地址
然后调用NetShareEnum枚举指定IP 地址的网络资源,对在本地网络和本地驱动器中找到的网络共享进行加密。如果枚举到“admin$”和“IPC$”的网络共享,则不进行加密
加密文件,勒索软件使用OpenSSL库和AES、RSA算法,在可执行文件中硬编码的RSA公钥
加密文件时首先使用ReadFile读取目标文件,然后使用WriteFile和SetFilePointerEx对内容进行加密并将加密后的数据写入指定位置。加密完成后,调用MoveFileExW将文件扩展名更改为“.royal_w”
最后在文件夹种创建勒索赎金提示信息文件“README.TXT”,内容如下:
样本文件中使用的MITRE ATT&CK技术行为描述如下:
1.执行
命令行界面(T1059)
2.发现
系统网络配置发现(T1016)
网络服务发现(T1046)
进程发现(T1057)
系统信息发现(T1082)
网络共享发现(T1135)
3.影响
为影响而加密的数据(T1486)
服务停止(T1489)
禁止系统恢复(T1490)
三.融安网络产品解决方案
融安网络的工业防火墙、工业入侵检测系统、恶意代码采集装置、漏洞挖掘检测平台、工控网络监测审计系统、工业主机安全加固系统等一系列安全防护产品均支持检测和拦截Royal勒索软件及Linux变种的入侵攻击活动,产品内置了庞大的入侵行为特征库,具有检测识别OT资产中存在的各类已知漏洞和缺陷,还能利用创新的自定义智能模糊测试引擎等多种手段来识别和挖掘潜在的未知漏洞,判别漏洞带来的风险级别,可形成集风险识别、威胁检测、预警响应、安全加固与应急处置的防护体系,为工业企业的系统设备安全和稳定保驾护航。
工业网络入侵检测系统成功拦截Royal勒索软件及Linux变种如下:
四.防御建议:
1.对于广大政企用户,可根据自身场景部署适合的安全产品;
2.避免打开来源不明的邮件以及附件,如一定要打开未知文件,请先使用杀毒软件进行扫描;
3.避免点击来源不明的邮件中包含的链接;
4.使用官方和经过验证的下载渠道,对下载的程序在使用前进行安全性验证;
5. 重要资料的共享文件夹应设置访问权限控制;
6. 重要的数据进行定期备份。