تحلیل فنی باج‌افزار Royal

تحلیل فنی باج‌افزار Royal

تاریخ ایجاد

باج‌افزار Royal برای اولین بار در اوایل سال 2022 مشاهده شد. طبق بررسی‌های صورت گرفته، گروه توسعه‌دهنده این باج‌افزار در ابتدا از باج‌افزارهای دیگری از قبیل BlackCat و Zeon در حملات خود استفاده می‌کردند که در نهایت در سپتامبر 2022 تصمیم گرفتند تا باج‌افزار شخصی‌سازی شده خود را توسعه و به کار گیرند. بر اساس گزارش رتبه‌بندی سرویس اطلاعاتی DarkFeed، باج‌افزار Royal در سال 2022 با 44 قربانی، در صدر موفق‌ترین باج‌افزارها حتی بالاتر از باج‌افزار LockBit قرار گرفت.

pic1


رویکرد منحصر به فرد باج‌افزار Royal در رمزنگاری فایل‌ها (Partial Encryption) و استفاده از تکنیک‌های Anti-Debugging و Defense-Evasion منجر به عدم شناسایی آن توسط مکانیزم‌های دفاعی رایج شده و دلیل موفقیت آن نیز همین موضوع می‌باشد. قربانیان این باج‌افزار را گروه‌های سازمانی مختلفی از قبیل صنایع، سازمان‌های بیمه و درمان و ... در کشورهای مختلف ایالات متحده و بریتانیا در بر می‌گیرند. بر اساس گزارشات به دست آمده، نمونه‌هایی از این باج‌افزار نیز در کشور ایران به چشم خورده است. باج‌افزار Royal نسخه لینوکسی هم دارد که سرورهای ESXi را هدف قرار می‌دهد. در این مستند، به تحلیل و بررسی نسخه ویندوزی این باج‌افزار پرداخته شده که جدیدترین نمونه از فایل اجرایی آن، در آگوست 2024 در سامانه VirusTotal بارگذاری شده است.


 مشخصات فایل اجرایی

pic2


 شجره‌نامه
طبق بررسی‌های صورت گرفته، گروه توسعه‌دهنده باج‌افزار Royal، منتسب به هیچ سازمان، نهاد یا دولت خاصی نمی‌باشد. بنا بر گزارشات مختلف در منابع آنلاین، ساختار کد باج‌افزار و پروسه رمزنگاری آن، شباهت‌هایی با باج‌افزار Conti دارد.

میزان تهدید فایل باج‌افزار
درحال حاضر 65 مورد از 75 ضد بد‌افزار سامانه VirusTotal باج‌افزار Royal را به عنوان یک برنامه مخرب شناسایی می‌کنند:

pic3


 تحلیل پویا
 آناتومی حمله
با توجه به تکنیک‌های پیشرفته Anti-Debugging که در توسعه باج‌افزار Royal استفاده شده است، متأسفانه تمام نمونه‌های بدست آمده از این باج‌افزار در محیط آزمایشگاهی به درستی اجرا نشده و منجر به رمزنگاری فایل‌ها نگردیدند. اما با مهندسی معکوس کد باج‌افزار، عملکرد آن کاملاً مشخص گردیده که در ادامه به آن خواهیم پرداخت.
باج‌افزار Royal پس از اجرا بلافاصله با دستور delete shadows /all /quiet در محیط CMD فضای VSS یا همان Shadow Copy را حذف می‌کند تا فرآیند بازیابی / ریکاوری با مشکل مواجه شود. در تصویر زیر دستور اجرا شده توسط باج‌افزار که به وسیله Sysmon ذخیره شده است را ملاحظه می‌کنید.
 

pic4

طبق بررسی انجام شده، فایل اجرایی باج‌افزار Royal به ترتیب زیر عمل می‌کند:
 

CMD.exe >> Sample.exe >> VSS.exe

بررسی‌ها نشان می‌دهد که برخی از دایرکتوری‌های سیستم‌عامل ویندوز در لیست سفید باج‌افزار قرار دارند و باج‌افزار از رمزگذاری محتویات آن‌ها خودداری می‌کند. برخی از این دایرکتوری‌ها عبارتند از :

pic5

باج‌افزار Royal پس از اتمام فرآیند رمزنگاری، پسوند .royal را به انتهای فایل‌ها اضافه می‌کند. این موضوع از طریق استخراج Stringهای باج‌افزار نیز قابل نتیجه‌گیری است:

 

pic6

در نهایت پیغام باج‌خواهی باج‌افزار با عنوان README.txt بر روی سیستم قربانی قرار می‌گیرد:
 

pic7

در متن پیغام باج‌خواهی، آدرس اینترنتی زیر در دارک وب جهت ارتباط با سازندگان باج‌افزار معرفی شده که در لحظه نگارش این سند، آدرس مذکور از دسترس خارج شده است.
 

http://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion

روش انتشار
مشاهدات صورت گرفته و گزارش‌های به دست آمده از منابع خارجی نشان می‌دهد که باج‌افزار Royal از طریق حملات فیشینگ حاوی بدافزار Qbot توانسته قربانیان زیادی را در سرتاسر جهان آلوده کند. بدافزار Qbot پس از اجرا، منجر به بارگزاری ابزار Cobalt Strike در سیستم قربانی خواهد شد که سازنده باج‌افزار به وسیله آن، فرآیند حمله را تکمیل می‌کند. این تکنیک قبلاً در باج‌افزار BlackBasta نیز مشاهده شده است.
روش مقابله
اقدامات رایج امن‌سازی از قبیل فایروال، آنتی‌ویروس، بروزرسانی سیستم‌عامل‌ها، استفاده از سرویس‌های دسترسی از راه دور به صورت کنترل شده و نصب وصله‌های امنیتی می‌تواند تا حد زیادی، زیرساخت سازمان را در مواجهه با حملات باج‌افزاری مصون نماید. علاوه بر موارد فوق، باتوجه به رفتار باج‌افزار Royal، می‌توان به این موضوع اشاره کرد که استفاده از متدهای شناسایی مبتنی بر رفتار (EDR، IPS، UEBA و ...) و همچنین آموزش و افزایش آگاهی پرسنل سازمان نسبت به رعایت مسائل امنیتی در مواجهه با حملات فیشینگ و مهندسی اجتماعی، می‌تواند کمک شایانی به تشخیص و جلوگیری از حمله این باج‌افزار نماید.
تحلیل ایستا
باج‌افزار Royal ساختاری 64 بیتی دارد و با زبان خانواده C نوشته شده است.

 

pic8

این باج‌افزار به صورت Multi-Threaded توسعه داده شده و با بهره‌گیری از تمام توان پردازنده، سرعت رمزنگاری فایل‌ها را افزایش می‌دهد.
 

pic9

طبق نتایج بدست آمده، آنتروپی فایل اجرایی این باج‌افزار عدد تقریبی 6/6 می‌باشد که نشان‌دهنده این است که فایل مربوطه Pack شده است.
 

pic10

تحلیل کد
همانگونه که در لاگ Sysmon در بخش تحلیل پویا مشاهده کردیم، باج‌افزار Royal بلافاصله پس از اجرا، اقدام به حذف فضای Restore Point ویندوز می‌کند که این موضوع در ساختار کد آن نیز به چشم می‌خورد.
 

pic11

طبق نتایج بدست آمده از تحلیل کد، باج‌افزار Royal توانایی اسکن شبکه را نیز دارد. این باج‌افزار آدرس‌های آی‌پی Private که با 10 ، 100 ، 172 و 192 شروع می‌شوند را در یک شبکه Local اسکن می‌کند.

pic12

باج‌افزار Royal در بخشی از فرآیند رمزنگاری خود، مسیرهای Share در شبکه شامل ADMIN$ و IPC$ را برای رمزنگاری فایل‌ها، جستجو می‌کند که با توجه به اجرای ناقص باج‌افزار در بخش تحلیل پویا، این موضوع مشاهده نگردید. قطعه کد زیر با استفاده از ابزار Ghidra به زبان C دیکامپایل شده است.
 

pic13

در تصویر زیر کلید عمومی (RSA) باج‌افزار Royal را ملاحظه می‌کنید که به صورت Plain Text در کد باج‌افزار قرار داده شده است. از این کلید عمومی برای رمزنگاری کلید خصوصی باج‌افزار که با الگوریتم AES تولید شده است، استفاده می‌شود.

pic14

باج‌افزار برای تولید کلید خصوصی AES، از کتابخانه OpenSSL استفاده می‌کند.

pic15

در پایان فرآیند رمزنگاری، باج‌افزار پیغام باج‌خواهی خود را در تمام دایرکتوری‌هایی که جزو لیست سفید باج‌افزار نیستند، قرار می‌دهد. متن پیغام باج نیز به صورت Plain Text در کد باج‌افزار قرار داده شده است.

pic16

تحلیل ترافیک شبکه
با توجه به اینکه نمونه‌های به دست آمده از باج‌افزار Royal در محیط آزمایشگاهی به درستی اجرا نشدند، بنابراین قادر به ذخیره ترافیک شبکه در حین اجرای باج‌افزار نشدیم. اما بر اساس تحلیل سامانه VirusTotal، باج‌افزار با آدرس‌های آی‌پی زیر در ارتباط می‌باشد.

pic17

شناسه‌های تهدید (IOCs)

pic18