研究人員利用Hive勒索軟件使用的加密算法中的安全漏洞成功提取了master key。
在眾多的惡意代碼類型中,勒索軟件是最大、最主要的安全威脅之一。勒索軟件可以加密用戶數(shù)據(jù)并要求用戶支付贖金來交換解密密鑰。如果沒有解密密鑰很難恢復(fù)被加密的數(shù)據(jù),因此許多公司在遭受勒索軟件攻擊時不同程度的都受到了巨大的危害,比如支付高額贖金或丟失了許多非常重要的數(shù)據(jù)。
Hive勒索軟件
與其他網(wǎng)絡(luò)犯罪組織類似,Hive運(yùn)營著一個勒索軟件即服務(wù)項目(RaaS),使用不同的機(jī)制來入侵商業(yè)網(wǎng)絡(luò)、竊取數(shù)據(jù)、加密網(wǎng)絡(luò)中的數(shù)據(jù)、向用戶勒索贖金以換取解密軟件的密鑰等。2021年6月,Hive勒索軟件入侵了一家名為Altus Group的公司,使用的攻擊方法包括利用有漏洞的RDP服務(wù)器、入侵VPN憑證郵件、以及含有惡意附件的釣魚郵件。
據(jù)區(qū)塊鏈分析公司Chainalysis數(shù)據(jù),截止2021年10月16日,Hive RaaS項目的受害者超過355家公司。美國FBI還發(fā)布了報告分析Hive勒索軟件的原理,如何備份、繞過反病毒軟件,以及進(jìn)行文件復(fù)制來實現(xiàn)加密。
Hive勒索軟件加密流程如下所示:
利用加密算法漏洞提取Hive勒索軟件Master Key
近日,韓國研究人員發(fā)現(xiàn)Hive勒索軟件用來生成和存儲master key的加密機(jī)制中存在安全漏洞,勒索軟件使用master key派生的2個密鑰流來加密選定的文件部分而非全部的文件內(nèi)容。
在每個文件加密過程中,需要兩個來自master key的密鑰流。這2個密鑰流是通過從master key中選擇隨機(jī)的偏移量和從選擇的偏移量中提取0x100000 bytes(1MiB)和0x400 bytes(1KiB)的內(nèi)容來生成的。假面的密鑰流是根據(jù)兩個密鑰流的異或得到的,然后與選擇的情況中的數(shù)據(jù)進(jìn)行異或來生成加密的文件。
研究人員發(fā)現(xiàn)可以通過猜測密鑰流的形式來恢復(fù)master key,然后在沒有Hive勒索軟件運(yùn)營者私鑰的情況下解密加密的文件。
研究人員經(jīng)過測試發(fā)現(xiàn)可以在沒有攻擊者RSA私鑰的情況下恢復(fù)95%的master key,并解密真實被加密的數(shù)據(jù)。這也是目前首個成功解密Hive勒索軟件的案例。
完整論文參見:https://arxiv.org/pdf/2202.08477.pdf
本文翻譯自:https://thehackernews.com/2022/02/master-key-for-hive-ransomware.html