针对关键根底设备的Royal讹诈软件阐发及防备定见

日前，美国联邦查询拜访局（FBI）与收集平安和根底设备平安局（CISA）针对Royal讹诈软件发布结合平安陈述，指出Royal讹诈软件正锁定许多重要根底设备部分（包罗造造、通信、医疗保健和教导单元等）倡议进攻。光2月就至少19次进攻事务，赎金从100万美圆到1,100万美圆不等。FBI和CISA定见组织摘取提防办法并尽快陈述政府单元，同时不要付赎金。

跟着新型讹诈软件的快速蔓延，工业企业数据泄露风险不竭上升，讹诈金额在数百万到近亿美圆的讹诈案件不竭呈现，讹诈软件给工业企业来的影响范畴越来越广，危害性也越来越大。为进步工业企业用户的平安提防意识和针对讹诈软件供给有效的全方位监测与防备构想。融安收集工控平安尝试室针对Royal讹诈软件停止深度阐发，包罗Royal讹诈软件的布景介绍、获取样本文件的行为阐发、利用的手艺，以及供给一些防备定见，以应对Royal讹诈软件对关键根底设备和工业企业带来的风险。

一.Royal讹诈软件布景介绍

Royal讹诈软件组织最早于2022岁首年月起头活泼，最后被称为Aeon，利用的是其他讹诈家族（如 BlackCat）的加密器，但该组织很快开发了本身的文件加密器。从2022年9月起头，该组织改名为“Royal”，并利用新的加密器生成同名的讹诈票据。与其他讹诈软件运营差别，Royal讹诈软件并不是以讹诈软件即办事（RaaS）的体例运营，而是由为其他团体工做具有丰富体味的进攻者构成。

往年12月9日，美国卫生与公家办事部(HHS)向该国的医疗保健组织发出了新警告，称该国的医疗保健组织正在遭受来自一个相对较新的组织Royal讹诈软件组织的继续进攻。12月27，Royal声称进攻了Intrado通信公司。该组织在加密目标的企业收集系统后，赎金要求从25万美圆到200万美圆不等。2023年2月，Royal讹诈软件呈现了Linux版本变种，特殊针对VMware ESXi虚拟机。新的Linux Royal讹诈软件变种加密文件时，会将“.royal_u”扩展名附加到 VM 上的所有加密文件。

二.Royal讹诈软件样本文件阐发

样本文件标签：

进攻流程：

展开全文

Royal讹诈软件通过收集垂钓，假装成合法的利用法式等体例拐骗受害者下载施行。Royal讹诈软件施行时会通过号令行启动，然后删除所有卷影副本，并设置不加密特定的文件扩展名和文件夹。在设置初始部门之后，将与收集资本成立毗连，列举收集资本，对在当地收集和当地驱动器中找到的收集共享停止加密。

在加密过程中，该讹诈软件利用OpenSSL库和AES、RSA算法。OpenSSL库用于利用AES算法对文件数据停止加密，然后利用可施行文件中硬编码的RSA公钥对随机生成的AES密钥停止加密，并在加密文件尾部写进被加密过的密钥，加密体例能够根据文件的大小和“-ep”参数来决定能否停止部门或全数文件加密。加密完成后，文件的扩展名更改为“.royal_w”，其它变种中还存在“.royal、.royal_u”等后缀类型。最初在文件夹中创建讹诈赎金提醒信息文件。

样本文件行为阐发：

Royal讹诈软件施行时利用GetCommandLineW API来获取历程的号令行参数，“-path”参数指定加密的途径，“-id”参数由随机的32个字符的字符串构成，用于标识受害者计算机，“-ep”参数指定加密文件内容的百分比，决定能否停止全数或部门文件加密，例如，将“-ep”参数设置为20，那么歹意软件只加密文件的20%

创建vssadmin.exe历程删除所有的卷影副本，号令为delete shadows /all /quiet

设置不加密的文件扩展名和文件目次列表如下：

与收集资本成立毗连，利用GetIpAddrTable获取 192. /10. /100. /172.开头的IP地址

然后挪用NetShareEnum列举指定IP 地址的收集资本，对在当地收集和当地驱动器中找到的收集共享停止加密。假设列举到“admin$”和“IPC$”的收集共享，则不停止加密

加密文件，讹诈软件利用OpenSSL库和AES、RSA算法，在可施行文件中硬编码的RSA公钥

加密文件时起首利用ReadFile读取目标文件，然后利用WriteFile和SetFilePointerEx对内容停止加密并将加密后的数据写进指定位置。加密完成后，挪用MoveFileExW将文件扩展名更改为“.royal_w”

最初在文件夹种创建讹诈赎金提醒信息文件“README.TXT”，内容如下：

样本文件中利用的MITRE ATTCK手艺行为描述如下：

1.施行

号令行界面（T1059）

2.发现

系统收集设置装备摆设发现（T1016）

收集办事发现（T1046）

历程发现（T1057）

系统信息发现（T1082）

收集共享发现（T1135）

3.影响

为影响而加密的数据（T1486）

办事停行（T1489）

制止系统恢复（T1490）

三.融安收集产物处理计划

融安收集的工业防火墙、工业进侵检测系统、歹意代码摘集安装、破绽发掘检测平台、工控收集监测审计系统、工业主机平安加固系统等一系列平安防护产物均撑持检测和拦截Royal讹诈软件及Linux变种的进侵进攻活动，产物内置了浩荡的进侵行为特征库，具有检测识别OT资产中存在的各类已知破绽和缺陷，还能操纵立异的自定义智能模糊测试引擎等多种手段来识别和发掘潜在的未知破绽，判别破绽带来的风险级别，可构成集风险识别、威胁检测、预警响应、平安加固与应急处置的防护系统，为工业企业的系统设备平安和不变保驾护航。

工业收集进侵检测系统胜利拦截Royal讹诈软件及Linux变种如下：

四.防备定见：

1.关于广阔政企用户，可根据本身场景摆设合适的平安产物；

2.制止翻开来源不明的邮件以及附件，如必然要翻开未知文件，请先利用杀毒软件停止扫描；

3.制止点击来源不明的邮件中包罗的链接；

4.利用官方和颠末验证的下载渠道，对下载的法式在利用前停止平安性验证；

5. 重要材料的共享文件夹应设置拜候权限掌握；

6. 重要的数据停止按期备份。