研究人員利用Hive勒索軟件使用的加密算法中的安全漏洞成功提取了master key。

在眾多的惡意代碼類型中，勒索軟件是最大、最主要的安全威脅之一。勒索軟件可以加密用戶數據并要求用戶支付贖金來交換解密密鑰。如果沒有解密密鑰很難恢復被加密的數據，因此許多公司在遭受勒索軟件攻擊時不同程度的都受到了巨大的危害，比如支付高額贖金或丟失了許多非常重要的數據。

Hive勒索軟件

與其他網絡犯罪組織類似，Hive運營著一個勒索軟件即服務項目(RaaS)，使用不同的機制來入侵商業網絡、竊取數據、加密網絡中的數據、向用戶勒索贖金以換取解密軟件的密鑰等。2021年6月，Hive勒索軟件入侵了一家名為Altus Group的公司，使用的攻擊方法包括利用有漏洞的RDP服務器、入侵VPN憑證郵件、以及含有惡意附件的釣魚郵件。

據區塊鏈分析公司Chainalysis數據，截止2021年10月16日，Hive RaaS項目的受害者超過355家公司。美國FBI還發布了報告分析Hive勒索軟件的原理，如何備份、繞過反病毒軟件，以及進行文件復制來實現加密。

Hive勒索軟件加密流程如下所示：

利用加密算法漏洞提取Hive勒索軟件Master Key

近日，韓國研究人員發現Hive勒索軟件用來生成和存儲master key的加密機制中存在安全漏洞，勒索軟件使用master key派生的2個密鑰流來加密選定的文件部分而非全部的文件內容。

在每個文件加密過程中，需要兩個來自master key的密鑰流。這2個密鑰流是通過從master key中選擇隨機的偏移量和從選擇的偏移量中提取0x100000 bytes (1MiB)和0x400 bytes (1KiB)的內容來生成的。假面的密鑰流是根據兩個密鑰流的異或得到的，然后與選擇的情況中的數據進行異或來生成加密的文件。

研究人員發現可以通過猜測密鑰流的形式來恢復master key，然后在沒有Hive 勒索軟件運營者私鑰的情況下解密加密的文件。

研究人員經過測試發現可以在沒有攻擊者RSA私鑰的情況下恢復95%的master key，并解密真實被加密的數據。這也是目前首個成功解密Hive 勒索軟件的案例。

完整論文參見：https://arxiv.org/pdf/2202.08477.pdf

本文翻譯自：https://thehackernews.com/2022/02/master-key-for-hive-ransomware.html如若轉載，請注明原文地址。