Score:2

LockBit ranswomware ตรรกะการเข้ารหัสคีย์ RSA สองเท่า

ธง cn

ในความพยายามที่จะเข้าใจกลไกของแรนซัมแวร์สมัยใหม่ ฉันไปพบบล็อกโพสต์เกี่ยวกับ ล็อคบิต.

สิ่งนี้ทำให้ฉันสับสนตั้งแต่:

  • แรนซั่มแวร์นี้สร้างคู่ของคีย์ RSA บนตัวที่ติดเชื้อ อุปกรณ์ที่ใช้เข้ารหัสคีย์ AES ที่ใช้ในการเข้ารหัสไฟล์

  • จากนั้น คีย์ส่วนตัวของคีย์ RSA นั้นจะถูกเข้ารหัสด้วยคีย์สาธารณะ ที่ฝังอยู่ในแรนซัมแวร์ กุญแจนั้นไม่ซ้ำกันสำหรับการโจมตี/เหยื่อแต่ละราย

ดังนั้น... การมีไว้เพื่ออะไร $2$ คู่ของคีย์ RSA?

ผู้โจมตีจะต้องโฮสต์รหัสส่วนตัวต่อเหยื่ออยู่แล้ว เหตุใดจึงต้องใช้คู่กุญแจภายในเครื่อง ไม่สามารถใช้คีย์ฝังตัวสาธารณะเพื่อเข้ารหัสคีย์ AES โดยตรงได้หรือไม่

Score:3
ธง in

จากนั้น คีย์ส่วนตัวของคีย์ RSA นั้นจะถูกเข้ารหัสด้วยคีย์สาธารณะที่ฝังอยู่ในแรนซัมแวร์ กุญแจนั้นไม่ซ้ำกันสำหรับการโจมตี/เหยื่อแต่ละราย

ฉันคิดว่านี่คือที่ที่ความสับสนเกิดขึ้น นั่นไม่ใช่คำอธิบายบนเว็บไซต์ที่คุณระบุอ้างอิงอย่างแน่นอน:

การเข้ารหัสใช้สองอัลกอริทึม: RSA และ AES ประการแรก คู่คีย์เซสชัน RSA จะถูกสร้างขึ้นบนเวิร์กสเตชันที่ติดไวรัส คู่คีย์นี้เข้ารหัสโดยใช้ รหัสสาธารณะของผู้โจมตีที่ฝังอยู่ และบันทึกไว้ในรีจิสทรี ซอฟต์แวร์ \ LockBit \ เต็ม.

"คีย์สาธารณะของผู้โจมตีแบบฝัง" น่าจะเป็นคีย์สาธารณะที่ผู้โจมตีเป็นเจ้าของและฝังอยู่ในซอฟต์แวร์ คีย์ส่วนตัวของคู่คีย์นั้นจะถูกเก็บไว้อย่างปลอดภัยโดยผู้โจมตี

ดังนั้นฉันคิดว่านี่เป็นเพียงความเข้าใจผิดจริงๆ แน่นอนว่าซอฟต์แวร์อาจมีรหัสสาธารณะที่สร้างไว้ล่วงหน้าทั้งหมด แต่ก็เหมาะสมกว่าที่จะสร้างคู่กุญแจในเครื่องแล้วส่งรหัสเซสชันส่วนตัวที่เข้ารหัสกลับ (เมื่อใดก็ตามที่เหยื่อตัดสินใจชำระเงิน)

ข้อเสียคือ - แน่นอน - ว่าหากเหยื่อสามารถดึงคีย์ส่วนตัวกลับคืนมาได้ ทั้งหมดนี้ก็ไร้ค่า - ในสายตาของผู้โจมตี อย่างไรก็ตาม หากสามารถเก็บคู่คีย์ไว้ในหน่วยความจำและทำลายได้โดยตรงหลังการสร้าง/เข้ารหัสคู่คีย์ ผู้โจมตีจะรักษาความได้เปรียบของตนไว้ได้

เมื่อเหยื่อได้รับข้อมูลของคุณกลับคืนมา หรือซอฟต์แวร์จะส่งคีย์ส่วนตัวที่เข้ารหัส "ของพวกเขา" ไปยังผู้โจมตี ผู้โจมตีสามารถถอดรหัสและส่งค่าข้อความธรรมดากลับมาได้

โปรดทราบว่าสำหรับ RSA คีย์ส่วนตัว RSA สามารถเข้ารหัสได้โดยตรงหลังการสร้าง เนื่องจากคุณต้องการเพียงคีย์สาธารณะสำหรับการเข้ารหัส ต้องมีคีย์ AES ระหว่างการดำเนินการเข้ารหัส ดังนั้นการมีคีย์อสมมาตรแยกต่างหากจึงสมเหตุสมผลสำหรับผู้โจมตี

Ozwel avatar
cn flag
ขอบคุณ มันชัดเจนกว่ามาก แต่ยังมีอีกสิ่งหนึ่งที่เหลืออยู่: หากอุปกรณ์หลายพันเครื่องจากบริษัทหนึ่งติดไวรัส ฉันไม่สามารถจินตนาการได้ว่าเหยื่อขอให้ถอดรหัสคีย์ส่วนตัวหลายพันรายการด้วยตนเอง เนื่องจากตามรหัสแล้ว คู่คีย์ RSA จะถูกสร้างขึ้นต่ออุปกรณ์ ดังนั้น ... เคล็ดลับคืออะไร?
Maarten Bodewes avatar
in flag
ฉันพบว่ามีแนวโน้มว่ามัลแวร์จะมีวิธีบางอย่างในการทำให้สิ่งนี้เป็นไปโดยอัตโนมัติ นอกเหนือจากนั้น เหยื่อไม่มีทางเลือกมากนัก พวกเขาสามารถทำให้มันทำงานอัตโนมัติได้เองเมื่อจำเป็น แน่นอนว่าเซิร์ฟเวอร์ของผู้โจมตีจะสามารถดำเนินการนี้ได้โดยอัตโนมัติ โดยสันนิษฐานว่ารหัสคีย์บางประเภทเป็นที่รู้จัก (ไม่เช่นนั้นใครก็ตามจะสามารถถอดรหัสได้)
fgrieu avatar
ng flag
@Ozwel: จาก [ส่วนของการอ้างอิงของคำถาม](https://blog.lexfo.fr/lockbit-malware.html#decryptor-and-decryption) ดูเหมือนว่า _Decryptor_ มีคีย์ส่วนตัวที่ตรงกับคีย์สาธารณะของผู้กระทำความผิด . นั่นจะทำให้สามารถถอดรหัสคีย์ RSA ของอุปกรณ์ทั้งหมดได้ ฉันไม่รู้ว่าเครื่องมือนั้นถูกจัดหาโดย perp ให้กับผู้ที่ตกเป็นเหยื่อ (อาจจะไม่ใช่การจ่ายเงิน) หรือโดยนักแสดงรายอื่น (เช่น ได้รับคีย์ส่วนตัวของ perp หรือ _Decryptor_ ด้วยวิธีที่ไม่มีใครบอก)

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา