利用加密算法漏洞提取Hive勒索软件Master Key - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

利用加密算法漏洞提取Hive勒索软件Master Key

ang010ela 新闻 2022-02-25 11:55:00
337534
收藏

导语:​研究人员利用Hive勒索软件使用的加密算法中的安全漏洞成功提取了master key。

研究人员利用Hive勒索软件使用的加密算法中的安全漏洞成功提取了master key。

Hive Ransomware Master Key

在众多的恶意代码类型中,勒索软件是最大、最主要的安全威胁之一。勒索软件可以加密用户数据并要求用户支付赎金来交换解密密钥。如果没有解密密钥很难恢复被加密的数据,因此许多公司在遭受勒索软件攻击时不同程度的都受到了巨大的危害,比如支付高额赎金或丢失了许多非常重要的数据。

Hive勒索软件

与其他网络犯罪组织类似,Hive运营着一个勒索软件即服务项目(RaaS),使用不同的机制来入侵商业网络、窃取数据、加密网络中的数据、向用户勒索赎金以换取解密软件的密钥等。2021年6月,Hive勒索软件入侵了一家名为Altus Group的公司,使用的攻击方法包括利用有漏洞的RDP服务器、入侵VPN凭证邮件、以及含有恶意附件的钓鱼邮件。

据区块链分析公司Chainalysis数据,截止2021年10月16日,Hive RaaS项目的受害者超过355家公司。美国FBI还发布了报告分析Hive勒索软件的原理,如何备份、绕过反病毒软件,以及进行文件复制来实现加密。

Hive勒索软件加密流程如下所示:

Hive Ransomware Master Key

利用加密算法漏洞提取Hive勒索软件Master Key

近日,韩国研究人员发现Hive勒索软件用来生成和存储master key的加密机制中存在安全漏洞,勒索软件使用master key派生的2个密钥流来加密选定的文件部分而非全部的文件内容。

image.png

在每个文件加密过程中,需要两个来自master key的密钥流。这2个密钥流是通过从master key中选择随机的偏移量和从选择的偏移量中提取0x100000 bytes (1MiB)和0x400 bytes (1KiB)的内容来生成的。假面的密钥流是根据两个密钥流的异或得到的,然后与选择的情况中的数据进行异或来生成加密的文件。

image.png

研究人员发现可以通过猜测密钥流的形式来恢复master key,然后在没有Hive 勒索软件运营者私钥的情况下解密加密的文件。

image.png

研究人员经过测试发现可以在没有攻击者RSA私钥的情况下恢复95%的master key,并解密真实被加密的数据。这也是目前首个成功解密Hive 勒索软件的案例。

完整论文参见:https://arxiv.org/pdf/2202.08477.pdf

本文翻译自:https://thehackernews.com/2022/02/master-key-for-hive-ransomware.html如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务