【經驗值上升】勒索軟件Hive加密流程露破綻 專家逆向計出master key
於上年 6 月首次被發現的勒索軟件Hive,短短四個月內便令 355 企業或機構成為受害者,晉身 2021 年十大賺錢勒索軟件的第 8 位。不過,南韓國民大學(Kookmin University)研究員在最新發表的報告內指出,他們已成功發現 Hive 的加密漏洞,在毋須黑客的 private key 下,可運算出原本的 master key。安全業界近來經常報捷,莫非對付勒索軟件的經驗值已累積至新高點?
勒索軟件集團 Hive 跟其他同行一樣,都會為客戶提供「勒索軟件即服務」(RaaS),集團提供軟件、伺服器、暗網爆料平台 HiveLeaks 及收取贖款服務,與提供入侵途徑的客戶分享勒索成果。集團亦會主動入侵,以雙重勒索 (double extortion) 方式威脅受害企業盡快交付贖金,否則便會將收集到的機密資料例如交易內容、客戶資料曝光,打擊受害者的商譽,因此賺錢能力非常高。
經研究員分析後,Hive 的整個攻擊過程可分為八個階段,首先在啟動軟件時,便會衍生出一條用 master key 並將它加密,其次是停止電腦設備內的防毒軟件功能,再完成安裝其他惡意程式。之後系統便會產生勒索告示、執行加密檔案程序並刪除 master key,最後再清除硬碟或儲存設備內的資料及入侵記錄。一般來說,如果受害企業想回復被加密的檔案,便要交付贖金,才有可能從對方手上取得解鎖專用的 private key。
不過,這次研究員便卻從 masterkey 一開始產生及儲存的位置,發現有可乘之機。研究員解釋,黑客用於加密檔案的兩條 keystreams 是由 master key 經 XOR 運算而來,雖然 keystreams 是從 master key 中選擇出隨機數值及偏移處理,但仍然存在還原的可能性,而最終研究員破解 master key 的還原率亦高達 95% 以上。有專家指出,近年多個勒索軟件例如 BlackMatter、TargetCompany 先後被破解,除了因為對方的加密流程有破綻,亦因網絡安全業界已研究了勒索軟件攻擊一段日子,開始了解有哪些脆弱地方可以利用,相信日後破解的速度會愈來愈快。
相關文章:【希望在明天】Avast推出TargetCompany免費破解工具 暫僅支援部分版本及運算需時
https://www.wepro180.com/avast220214/
