恶意家族名称:
Royal
威胁类型:
勒索病毒
简单描述:
Royal 勒索软件首次发现于 2022 年初,起初以攻击 Windows 系统为目标,本次捕获的样本为ELF格式,表明Royal开始将Linux系统加入攻击的系统版本中。该家族首要攻击目标为制造业,其次是专业服务和餐饮业。攻击模式主要通过网络钓鱼来传播 Royal 勒索软件。
恶意文件分析
恶意事件描述
最近发现了一款针对ESXi服务器的Royal 勒索软件的 Linux 变体,样本执行后,被加密文件添加扩展“royal_u”,勒索信文件名为“readme.txt”
恶意事件分析
使用gcc编译的64位的ELF格式的二进制文件
程序首先会测试受害机器的RSA加密能力,通过测试字符串“test”能否加密成功,来判断接下来是否继续加密受害机器上文件。
下图为该勒索软件可添加的执行参数,各参数作用均已标记。其中参数”id”为必选参数且为32字符,如果该参数值不正确,则勒索软件不会执行;”ep”参数指定线程数,并且线程数为1-100,如果线程数不在该范围内,则默认为50。
如果V17的值为真,则创建两个子进程执行加密操作;否则,使用当前进程直接执行加密操作。加密操作使用threadpool库创建线程池,遍历文件,释放勒索信,随后实施多线程加密。
释放勒索信,勒索信文件名为”readme”,勒索信中包含与攻击者能取得联系的Tor浏览器地址,目前已失效。
加密算法:使用AES-256-CBC和RSA-512结合的多线程加密算法加密文件
1.首先使用gen_random函数生成48字节的随机数作为AES加密算法的密钥
2.文件内容采用AES加密,加密密钥为第1步骤生成的
3.勒索样本硬编码512位的RSA公钥,使用RSA公钥加密AES的密钥
4.将RSA生成的密钥附加到被加密的文件内容后
5.加密完成后,添加”royal_u”作为被加密文件后缀
MITRE ATT&CK
IOCs
解决方案
处置建议
1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。
2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。
3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。
4. 使用官方和经过验证的下载渠道,使用正版开发人员提供的工具/功能激活和更新产品,不建议使用非法激活工具和第三方下载器,因为它们通常用于分发恶意内容。
5. 重要的数据最好双机备份或云备份。
深信服解决方案
【深信服终端安全管理系统EDR】基于勒索病毒入侵攻击链提供4层勒索入侵预防,6级勒索反加密防护,5项勒索检测与响应机制,从事前防御-事中响应-事后溯源三个方面为终端构建全面的勒索防护体系,轻松抵御勒索入侵。
【深信服勒索理赔服务】深信服与专业保险机构联合推出针对勒索病毒的理赔服务,为客户快速解决勒索赎金损失,尽快恢复数据和业务,降低勒索的影响和业务。
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
原文始发于微信公众号(深信服千里目安全技术中心):【勒索防护】Royal勒索家族开始攻击Linux平台