研究人员利用Hive勒索软件使用的加密算法中的安全漏洞成功提取了主密钥。在众多类型的恶意代码中,勒索软件是最大和最主要的安全威胁之一。勒索软件可以加密用户数据并要求赎金以换取解密密钥。没有解密密钥,加密数据很难恢复,所以很多企业在被勒索软件攻击时都不同程度地遭受了巨大的损失,比如支付高额赎金或者丢失大量非常重要的数据。Hive勒索软件与其他网络犯罪集团类似,Hive运行一个勒索软件即服务(RaaS)程序,该程序使用不同的机制来破坏业务网络、窃取数据、加密网络上的数据,并向用户勒索赎金以换取解密软件。2021年6月,Hive勒索软件入侵了一家名为AltusGroup的公司,使用的攻击方法包括利用易受攻击的RDP服务器、破坏VPN凭据电子邮件以及带有恶意附件的网络钓鱼电子邮件。根据区块链分析公司Chainalysis的数据,截至2021年10月16日,已有超过355家公司成为HiveRaaS项目的受害者。美国FBI也发布了一份报告,分析了Hive勒索病毒的原理,如何备份、绕过杀毒软件、进行文件复制来实现加密。Hive勒索病毒的加密过程如下:利用加密算法漏洞提取Hive勒索MasterKey近日,韩国研究人员发现Hive勒索病毒用于生成和存储MasterKey的加密机制存在安全漏洞。2个密钥流用于加密选定的文件部分而不是所有文件内容。在每个文件加密过程中,需要来自主密钥的两个密钥流。通过从主密钥中选择一个随机偏移量并从所选偏移量中提取0x100000字节(1MiB)和0x400字节(1KiB)来生成2个密钥流。将两个密钥流进行异或运算得到屏蔽密钥流,再与选定情况下的数据进行异或运算,生成加密文件。研究人员发现,可以通过猜测密钥流的形式来恢复主密钥,然后在没有Hive勒索软件操作者私钥的情况下解密加密文件。研究人员经过测试发现,在没有攻击者RSA私钥的情况下,95%的主密钥都可以恢复,真正加密的数据也可以被解密。这也是Hive勒索病毒首次成功解密。论文全文见:https://arxiv.org/pdf/2202.08477.pdf本文翻译自:https://thehackernews.com/2022/02/master-key-for-hive-ransomware.html如有转载,请注明原文地址。
