使用加密算法中的缺陷检索 Hive 勒索软件的主密钥

安全 应用安全
Hive 运营着一种勒索软件即服务,使用不同的机制来破坏业务网络、泄露数据并加密网络上的数据,并试图收集赎金以换取对解密软件的访问权限。

研究人员详细介绍了他们所谓的“第一次成功尝试”,即解密受Hive 勒索软件感染的数据,而不依赖于用于锁定对内容的访问的私钥。

韩国国民大学的一组学者在一篇剖析其加密过程的新论文中表示: “通过使用通过分析确定的加密漏洞,能够在没有攻击者私钥的情况下恢复生成文件加密密钥的主密钥。”

与其他网络犯罪组织一样,Hive 运营着一种勒索软件即服务,使用不同的机制来破坏业务网络、泄露数据并加密网络上的数据,并试图收集赎金以换取对解密软件的访问权限。

它于2021 年 6 月首次被观察到,当时袭击了一家名为 Altus Group 的公司。Hive 利用了多种初始攻击方法,包括易受攻击的 RDP 服务器、泄露的 VPN 凭据以及带有恶意附件的网络钓鱼电子邮件。该组织还实施越来越有利可图的双重勒索方案,其中参与者不仅通过加密还泄露敏感的受害者数据并威胁要在其 Tor 站点“ HiveLeaks ”上泄露信息。

根据区块链分析公司 Chainalysis 的数据,截至 2021 年 10 月 16 日,Hive RaaS 已使至少 355 家公司受害,该集团在 2021 年按收入计算的十大勒索软件品种中排名第八。与该组织相关的恶意活动还促使美国联邦调查局 (FBI) 发布了一份报告,详细说明了攻击的作案手法,并指出勒索软件如何终止与备份、防病毒和文件复制相关的进程以促进加密。

研究人员发现的加密漏洞涉及生成和存储主密钥的机制,勒索软件仅使用从主密钥派生的两个密钥流加密文件的选定部分,而不是整个内容。

研究人员解释说:“对于每个文件加密过程,都需要来自主密钥的两个密钥流,通过从主密钥中选择两个随机偏移量并分别从所选偏移量中提取 0x100000 字节 (1MiB) 和 0x400 字节 (1KiB) 来创建两个密钥流。”

从两个密钥流的XOR 操作创建的加密密钥流然后与交替块中的数据进行 XOR 以生成加密文件。但是这种技术也使得猜测密钥流和恢复主密钥成为可能,从而可以在没有攻击者私钥的情况下解码加密文件。研究人员表示,他们能够利用该漏洞设计一种方法来可靠地恢复加密期间使用的 95% 以上的密钥。

研究人员说:“恢复92%的主密钥成功解密约72%的文件,恢复96%的主密钥成功解密约82%的文件,恢复98%的主密钥成功解密约98%的文件。“

责任编辑:武晓燕 来源: 祺印说信安
相关推荐

2022-02-25 16:10:58

Hive勒索软件漏洞

2018-03-30 15:12:00

安全密钥加密

2010-04-21 12:04:06

2016-05-30 10:55:53

Tesla勒索软件解密主密钥勒索软件

2016-11-16 15:23:09

2015-06-02 10:15:08

2023-10-16 19:05:20

2012-09-13 09:58:38

2020-12-16 05:46:58

算法加密算法MD5

2022-06-27 18:54:54

Python爬虫加密算法

2022-04-19 09:57:50

黑客勒索比特币

2022-12-02 14:15:02

2013-10-17 13:20:34

2010-09-09 10:06:56

Zigbee协议栈加密算法

2020-05-08 11:13:28

Python数据技术

2022-01-11 12:12:10

加密漏洞攻击

2015-06-23 11:11:55

2018-01-11 09:51:34

2021-11-22 23:20:01

加密算法架构

2020-05-09 14:20:11

信息安全加密
点赞
收藏

51CTO技术栈公众号