威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播

近日,亚信安全监测到Royal 勒索软件异常活跃,对医疗系统似乎格外“偏爱”的同时,持续通过第三方网站、垃圾邮件附件、恶意广告、后门程序以及虚假安装程序等方式传播,给受害者带来金钱和声誉上的双重损失。


关于Royal


Royal 勒索软件最早于 2022 年 9 月首次被发现,其经历了多次迭代更新。有研究人员发现,Royal 勒索软件最初使用的是其他勒索家族(如 BlackCat)的加密器,但他们很快转向使用自己的加密器,其中,Zeon是该组织使用自己的加密器生成的第一个勒索家族,该家族的勒索信与Conti 勒索家族类似。Royal 勒索软件家族会在伪装成合法的下载网站以及 GitHub 和 OneDrive 等合法网站上托管虚假安装程序文件,并将恶意广告通过推广服务有效融入正常的广告流量,诱导受害者下载运行。


Royal的攻击流程


Royal 勒索软件通过伪装成合法的应用程序,诱导受害者下载运行它,作为勒索软件传播的接入点。该勒索软件程序支持命令行参数,"-path"参数用于加密指定目录下的文件,"-id"参数用于标识用户计算机,但无论是否提供了任何一个参数,都会删除卷影副本防止受害者恢复备份。在加密过程中,该勒索使用了 OpenSSL 库,通过 BCryptGenRandom 函数生成随机密钥,并混合使用了AES 和 RSA 算法,使用 AES 算法对文件数据进行加密,并将加密后的数据写入文件中,然后使用 RSA 公钥对随机生成的加密密钥进行加密,并在加密文件尾部写入被加密过的密钥,最后在文件夹中留下勒索信息说明文件。


威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播

【Royal 勒索软件攻击流程图】



亚信安全产品解决方案


亚信安全传统病毒码版本17.895.60,云病毒码版本17.895.71,全球码版本17.895.00,已经可以检测,请用户及时升级病毒码版本;

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


亚信安全 OSCE 恶意行为监控可有效拦截该样本的恶意行为。

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


亚信安全DDAN沙盒平台可以有效检测出该家族勒索样本的行为。

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播
威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播



安全建议


  • 全面部署安全产品,保持相关组件及时更新;

  • 不要点击来源不明的邮件以及附件;

  • 不要点击来源不明的邮件中包含的链接;

  • 请到正规网站或者应用商店下载程序;

  • 对下载的程序在使用前进行安全性验证;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本用两种不同格式保存,并将副本放在异地存储。


病毒详细分析


向上滑动阅览


首先,勒索软件会检查自身程序是否正在被调试,若检测到程序正在被调试则终止进程:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


该勒索通过命令行启动,需要传递两个参数来启动加密进程。"-path"参数指定加密的内容(单个目录或者整个驱动器),"-id"由随机的32 个字符的字符串组成,用于标识用户计算机:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播
威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


无论是否提供了上述参数中的任何一个参数,该勒索都会进行删除卷影副本的操作:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


文件目录过滤,设置不加密文件及后缀白名单,在加密文件时会通过过滤器将不需要加密的内容排除在外:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


创建加密线程,后续对文件进行加密操作:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


该勒索使用了 OpenSSL 库提供加密算法对文件进行加密:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


后续用于加密随机生成的密钥的RSA公钥:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


提供PROV_RSA_AES类型加密密钥,用于对数据进行加密操作:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


通过调用CryptAcquireContextW得到密钥容器句柄, 并在以后函数调用中通过密钥容器句柄来使用CSP提供各种密码运算:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


通过调用CryptExportKey从加密服务 (CSP) 导出加密密钥或密钥对:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


检索表示当前可用磁盘驱动器的位掩码(0 是驱动器 A,1 是驱动器 B,2 是驱动器 C,依此类推):

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


创建并释放勒索信:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播
威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


遍历文件和目录以便进行加密:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


与网络资源建立连接,将本地设备重定向到网络资源,枚举网络资源,对共享目录上的文件进行加密:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播
威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


勒索加密函数:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


使用随机密钥对文件进行加密:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


将随机生成的加密密钥通过RSA算法加密后,置于文件末尾,完成文件加密:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


对被加密文件添加后缀:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播
威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播


该勒索家族之前的其他变种中还存在如下加密后缀类型:

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播
威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播



亚信安全原创作品,转载请注明来源

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播

了解亚信安全,请点击“阅读原文”

原文始发于微信公众号(亚信安全):威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播

版权声明:admin 发表于 2023年1月12日 下午7:04。
转载请注明:威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播 | CTF导航

相关文章

暂无评论

暂无评论...