勒索病毒
Royal 勒索病毒擴大攻擊目標,瞄準 Linux ESXi 伺服器
之前就曾經看過勒索病毒(勒索軟體,Ransomware) 集團藉由開發 Linux 版本來擴大攻擊目標。Royal 也正踏上同樣的道路,開發了一個專門攻擊 Linux 系統的新變種,本文將從技術面來分析這個變種。
之前就曾經看過勒索病毒 集團藉由開發 Linux 版本來擴大攻擊目標。2022 年 9 月,我們預測未來將有更多勒索病毒集團會攻擊 Linux 伺服器與嵌入式系統,因為光 2022 上半年,這類攻擊的數量就比前一年同期出現 2 位數成長。2021 年 5 月,我們通報了 DarkSide 勒索病毒的變種;2022 年 5 月,我們發現了 Cheerscrypt 這個專門攻擊 ESXi 伺服器的勒索病毒,而 ESXi廣泛用於企業內的伺服器虛擬化。
Royal 也正踏上同樣的道路,開發了一個專門攻擊 Linux 系統的新變種,本文將從技術面來分析這個變種。Royal 的 Linux 變種同樣也是專門攻擊 ESXi 伺服器,這樣的發展將對受害企業的資料中心和虛擬化儲存帶來巨大衝擊。
Royal 勒索病毒最早在 2022 年 9 月被發現,一般認為其背後的集團應該是經驗老道的網路犯罪分子,而且曾經參加 Conti Team One。
根基深厚、起步強勁
雖然 Royal 勒索病毒在 2022 年 9 月才開始被發現,但同年第 4 季即已躋身最多產的三大勒索病毒集團之一。根據來自各大勒索病毒集團資料外洩網站的資料,約有 10.7% 的資料外洩事件是 Royal 所為,僅次於 LockBit (22.3%) 和 BlackCat (11.7%)。該集團的成員應該是從 Conti 分離出來,所以也許這就是為何他們能迅速登上媒體版面,並在勒索病毒領域占有一席之地。
在研究了這個勒索病毒的攻擊方式之後,我們發現它結合了新舊雙重技巧,證明其背後集團對勒索病毒瞭若指掌。Royal 早期的攻擊使用的是 BlackCat 的加密器,但後來就改用自己的 Zeon 加密器,而且其產生的勒索訊息類似 Conti 勒索病毒。不過後來 Royal重新主打自己的招牌,開始在加密器產生的勒索訊息中使用「Royal」的名稱。
Royal 勒索病毒在 2022 年第 4 季主要攻擊中小企業,其受害者有 51.9% 是小型企業,26.8% 是中型企業。同期,僅有 11.3% 的受害者是大型企業。
在產業方面,IT、金融、材料、醫療,以及食品與日用品產業是其最主要的目標。2022 年第 4 季,Royal 集團的受害者主要集中在北美,占所有受害者的四分之三,其次是歐洲、拉丁美洲、亞太地區、非洲及中東。
技術層面分析
根據我們的分析,我們發現 Royal 勒索病毒有以下幾個指令列參數:
| 參數 | 說明 |
| -id {長度 32 個位元組的字串} | 當成受害者的 ID (識別碼),這個 ID 會附在勒索訊息中的 TOR 連結末端。如果下指令時未提供這個 ID,或是提供的 ID 長度不到 32 個位元組,那麼程式會直接結束。 |
| -ep | 指定要加密整個檔案或採用間隔式加密。 |
| -stopvm | 使用 EXSCLi 指令來終止虛擬機器執行程序。 |
| -vmonly | |
| -fork | 產生子處理程序。 |
| -logs | 顯示已加密檔案的記錄檔。 |
表 1:Royal 勒索病毒的參數與說明。
Royal 勒索病毒的「-id」參數跟其 Win32 變種一樣,需要一個長度 32 個位元組的字串,否則無法執行,這個字串將用來當成受害者的 ID (識別碼)。
Royal 勒索病毒前期 Win32 變種的「-path」(路徑) 參數在 Linux 變種已經移除,但它仍需要指定路徑才能執行。所以它會將指令列的第一個參數視為要加密的檔案路徑。
在「stop_vm」函式中,Royal 勒索病毒使用了以下 ESXCLI 指令來終止虛擬機器的處理程序。
esxcli vm process kill –type=hard –world-id={ }
接著,Royal 勒索病毒會產生一定數量的執行緒,視被感染電腦上的處理程序數量而定。它使用 sysconf(84) 函式來取得處理程序的數量,然後再乘上 8,就是要產生的執行緒數量。這麼做是為了大幅加快「thread_func」函式的速度,這是勒索病毒當中負責執行加密的函式。
在「search_files」函式部分,Royal 勒索病毒使用「opendir」函式來開啟某個指定的目錄。然後在目錄中產生「readme」勒索訊息檔案,接著在迴圈中呼叫「readdir」函式來讀取該目錄中的所有項目。接著,檢查項目的類型是否為目錄 (d_type == 4) 或檔案 (d_type == 8)。如果是目錄,那就再循環呼叫「search_files」函式來讀取該目錄中的項目。
如果是個檔案,那就檢查一下檔案的名稱,避開含有以下名稱/副檔名的檔案:
- .royal_u
- .royal_w
- .sf
- .v00
- .b00
- royal_log_
- readme
其中一個被排除的副檔名是「.royal_w」,這是 Royal 勒索病毒最近附加在已加密檔案末端的副檔名。我們猜測「royal_w」和「royal_u」是用來區分 Windows 變種或 Linux 變種所加密的檔案 (分別為 royal_w 和 royal_u),其中「u」可能代表 Unix 的意思。
Royal 勒索病毒的 Linux 變種也跟其 Win32 變種一樣使用 OpenSSL 的 Advanced Encryption Standard (AES) 演算法來執行加密。
此外,Royal 勒索病毒集團也會使用間隔式加密。它的 -ep 參數可用來指定一個 0 到 100 的整數,如果超過 100 或低於等於 0,程式會直接將數值設為 50,並用於間隔式加密。
Royal 勒索病毒接著使用以下函式來產生 AES 金鑰和初始化向量 (IV),並使用 RSA 演算法將它們加密。加密後的 AES 金鑰和 IV 會附在每個被加密的檔案末端。
假使 RSA 加密成功,就會將檔案長度向上調整至 16 的倍數,以符合 AES 加密的要求。
檔案調整後,Royal 勒索病毒接著檢查檔案大小是否小於等於 5,245,000 個位元組,或者 -ep 參數的數值是否為 100。只要符合其中一項條件,就將整個檔案加密。如果檔案大於 5,245,000 個位元組,那麼就每間隔一段距離執行一段加密,先將前 N 個位元組加密,然後跳過 N 個位元組,接著重複同樣的流程。
間隔大小 (N) 的計算方式:
| N = (X/10) * (原始檔案大小 / 100) 再向上調整至 16 的倍數 |
* 其中 X 是 -ep 參數的值
如果計算出來的 N 大於 1,024,000,那就使用 1,024,000 作為間隔大小。
Royal 勒索病毒 Linux 變種採用的間隔式加密技巧與其 Win32 變種非常相似,都是為了加快加密作業。
最後,Royal 勒索病毒會在被加密的檔案名稱末端加上「royal_u」副檔名,然後在目錄中產生勒索訊息檔案 (readme)。
結論
這個 Royal 勒索病毒變種將攻擊目標擴大到 ESXi 伺服器,這對受害者來說影響很大。由於 Royal 背後的駭客應該是從 Conti 出來的老手,對勒索病毒非常了解,所以對企業來說是很大的威脅,我們預料未來將看到更多該集團的活動。而 Royal 勒索病毒也勢必將出現更多的新變種來擴大影響力。
要保護系統免於勒索病毒攻擊,我們建議不論是一般使用者或企業都應該養成良好資安習慣並採取最佳實務原則,例如透過資料防護、備份及復原措施來保護可能被加密或清除的資料。定期執行漏洞評估並隨時修補系統,如此可降低那些專門攻擊漏洞的勒索病毒所帶來的損害。
我們建議企業機構及使用者都應讓自己的系統隨時保持更新,並採用多層式防禦機制。企業和一般使用者可採取以下資安措施來降低感染 Royal 勒索病毒這類新威脅的風險:
- 啟用多重認證 (MFA) 防止駭客在網路內部橫向移動。
- 遵守 3-2-1 原則來備份重要檔案:3 份備份、2 種儲存媒體、1 個不同的存放地點。
- 定期修補及更新系統,讓作業系統與應用程式隨時保持更新非常重要,並且要建立一套修補更新管理程序,這樣才能防止駭客利用軟體漏洞。
入侵指標資料
| SHA256 雜湊碼 | 偵測名稱 |
| b57e5f0c857e807a03770feb4d3aa254d2c4c8c8d9e08687796be30e2093286c | Ransom.Linux.ROYAL.THBOBBC |
| 06abc46d5dbd012b170c97d142c6b679183159197e9d3f6a76ba5e5abf999725 | Ransom.Linux.ROYAL.THBOBBC |
⭕️ 企業用戶
建議企業採用一套跨世代的多層式防護技術來防止最新勒索病毒攻擊,在適當時機套用適當的技術來保護您的使用者和資料。》立即前往了解
⭕️ 一般用戶
PC-cillin 防詐防毒、守護個資,支援Windows11 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
假使您也不幸成了受害者,請保持冷靜,最好向外尋求協助,但不要支付贖金。而平時,最好可以安裝一套防毒軟體的即時防護。如 趨勢科技 PC-cillin 的「勒索剋星」可為您的寶貴檔案提供多一層防護。》立即免費下載試用
原文出處:Royal Ransomware Expands Attacks by Targeting Linux ESXi Servers